涉嫌分散蜘蛛黑客组织的老板被捕

一名22岁的英国男子本周在西班牙被捕，据称他是网络犯罪组织“分散蜘蛛”(Scattered Spider)的头目，该组织涉嫌在过去两年中入侵了Twilio、LastPass、DoorDash、Mailchimp和近130家其他组织。

西班牙日报《今日穆尔西亚》报道称，这名嫌疑人被联邦调查局通缉，并在试图登上飞往意大利的航班时在帕尔马德马略卡岛被捕。

西班牙国家警察发布的一段视频显示，泰勒布在机场被拘留。

《今日穆尔西亚》写道:“他被指控侵入公司账户并窃取关键信息，据称这使该组织获得了数百万美元的资金。”“据帕尔马警方称，他一度控制着价值2700万美元的比特币。”

专注于网络犯罪的推特/X账户vx-underground称，被捕的英国男子是一名化名“泰勒”的sim卡交换者。在sim卡交换攻击中，骗子将目标的电话号码转移到他们控制的设备上，拦截发送给受害者的任何短信或电话——包括一次性身份验证密码，或通过短信发送的密码重置链接。

vx-underground在6月15日写道:“他是一个众所周知的sim卡交换者，据称与臭名昭著的分散蜘蛛组织有关。”该组织指的是去年在拉斯维加斯米高梅(MGM)和凯撒(Caesars)赌场进行了代价高昂的数据勒索攻击的犯罪团伙。

熟悉调查的消息人士告诉KrebsOnSecurity，被告是来自苏格兰邓迪的22岁男子泰勒·布坎南(Tyler Buchanan)，据称在以sim卡交换为中心的Telegram聊天频道中也被称为“tylerb”。

2024年1月，美国当局逮捕了另一名涉嫌“分散蜘蛛”的成员——佛罗里达州棕榈海岸19岁的诺亚·迈克尔·厄本。并指控他在2022年8月至2023年3月期间从五名受害者那里窃取了至少80万美元。据称，厄本的绰号是“索萨”和“鲍勃国王”，据信他是2022年入侵推特ilio和其他许多公司的同一群人的一部分。

调查人员说，“分散蜘蛛”的成员是一个更广泛的网络犯罪社区“The Com”的一部分，在这个网络犯罪社区中，来自不同集团的黑客大肆吹嘘自己的高调网络盗窃行为，这些行为几乎都是从社会工程开始的——通过电话、电子邮件或短信欺骗人们，让他们提供远程访问公司内部网络的凭据。

Telegram上一个比较受欢迎的sim卡交换频道经常更新最有成就的sim卡交换者的排行榜，根据他们在窃取加密货币方面的征服进行索引。该排行榜目前将索萨排在第24位(100名中)，泰勒排在第65位。

0KTAPUS

2022年8月，克雷布森安全公司(KrebsOnSecurity)报道了一篇关于窥探分散蜘蛛在长达数月的网络犯罪活动中收集的数据的文章，其中包括针对大公司员工的无数次基于短信的网络钓鱼攻击。安全公司group - ib用另一个名字——0ktapus——来称呼这个犯罪团伙，这是对这个犯罪团伙如何通过网络钓鱼来获取员工证书的认可。

这些邮件要求用户点击一个链接，登录到一个仿照雇主Okta认证页面的钓鱼页面。提交凭据的用户随后被提示提供多因素身份验证所需的一次性密码。

这些网络钓鱼攻击使用新注册的域名，这些域名通常包含目标公司的名称，并发送短信敦促员工点击这些域名的链接，以查看有关其工作时间表即将更改的信息。这些钓鱼网站还隐藏了一个Telegram即时消息机器人，可以实时转发任何提交的凭证，允许攻击者使用钓鱼用户名、密码和一次性代码，以该员工的身份登录真正的雇主网站。

在2022年的短信网络钓鱼活动中，Scattered Spider的首批大受害者之一是Twilio，这是一家提供收发短信和电话服务的公司。该组织随后转向，利用他们对Twilio的访问攻击了至少163个用户。

发送给Twilio员工的分散蜘蛛钓鱼诱饵。

其中包括加密消息应用Signal，该公司表示，攻击者可能会在另一台设备上重新注册约1900名用户的电话号码。

同样在2022年8月，邮件发送公司Mailchimp的几名员工向该网络钓鱼组织提供了远程访问凭据。据Mailchimp称，攻击者利用他们对Mailchimp员工账户的访问权限，窃取了214名涉及加密货币和金融的客户的数据。

2022年8月25日，密码管理服务LastPass披露了一次漏洞，攻击者窃取了一些源代码和专有的LastPass技术信息，几周后，LastPass表示调查显示没有客户数据或密码库被访问。

然而，在2022年11月30日，LastPass披露了一起更为严重的数据泄露事件，该公司表示，八月份的数据泄露事件利用了数据被盗。LastPass表示，犯罪黑客窃取了一些密码库的加密副本，以及其他个人信息。

2023年2月，LastPass披露，入侵涉及一次高度复杂的、有针对性的攻击，目标是一名工程师，他是LastPass仅有的四名有权进入公司金库的员工之一。在那次事件中，攻击者利用了该员工在其家庭网络上运行的Plex媒体服务器的安全漏洞，成功地安装了恶意软件，窃取了密码和其他身份验证凭证。入侵者利用的漏洞在2020年被修补，但该员工从未更新他的Plex软件。

在LastPass披露8月份首次入侵的前一天，Plex宣布了自己的数据泄露事件。2022年8月24日，Plex的安全团队敦促用户重置密码，称入侵者已经访问了客户的电子邮件、用户名和加密密码。

地盘之争

索萨和泰勒布都遭到了对方sim卡交换团伙的人身攻击。众所周知，这些社区通过在网络犯罪频道上提供所谓的“暴力即服务”(violence-as-a-service)来解决问题，在这些频道上，人们可以受雇从事各种“现实生活”中特定地理位置的工作，比如砸窗户、割汽车轮胎，甚至入室盗窃。

2022年，一个受欢迎的网络犯罪频道上出现了一段视频，视频显示攻击者向一扇窗户扔砖头，地点与厄本父母在佛罗里达州桑福德的宽敞高档住宅相符。

1月份关于索萨的报道指出，2022年9月，他手下一名名叫“预兆”(Foreshadow)的年轻成员被绑架、殴打并被勒索赎金。“预示”的绑架者用枪指着他血迹斑斑的头部，强迫他录制视频信息，恳求他的船员交出20万美元的赎金来换取他的生命(“预示”在那次事件中逃脱了进一步的伤害)。

根据泰勒布经常出入的电报上的几个sim卡交换频道，竞争对手的sim卡交换商在2023年2月雇佣了暴徒入侵他的家。这些描述称，入侵者在入室抢劫中袭击了泰勒布的母亲，并威胁说，如果他不交出加密货币钱包的钥匙，他们就用喷灯把他烧死。据说泰勒布在那次袭击后逃离了英国。

KrebsOnSecurity向布坎南寻求评论，如果他做出回应，我们将更新这篇报道。

原文始发于微信公众号（HackSee）：涉嫌“分散蜘蛛”黑客组织的老板被捕