השבתת הפעילות המתמשכת אצל ענקית הקמעונאות הבריטית מרקס אנד ספנסר נגרמה על ידי מתקפת כופרה, שלפי הדיווחים בוצעה על ידי קבוצת הכופרה Scattered Spider. מרקס אנד ספנסר (M&S) הינה קמעונאית רב-לאומית בריטית המעסיקה 64,000 עובדים ומוכרת מוצרים שונים כגון ביגוד, מזון ומוצרי בית ביותר מ- 1,400 חנויות ברחבי העולם. M&S אישרה כי סבלה ממתקפת כופרה אשר גרמה לשיבושים נרחבים, כולל למערכת התשלומים שלה ללא מגע ולהזמנות מקוונות. השיבושים נמשכים, כאשר כ- 200 עובדי מחסן התבקשו להישאר בבית בזמן שהחברה עדיין מגיבה למתקפת הכופרה אשר הצפינה את שרתי החברה.
קבוצת הכופרה פרצה ככל הנראה ל- M&S לראשונה כבר בפברואר, כאשר על פי הדיווחים גנבה את קובץ ה- NTDS.dit של דומיין Windows. קובץ NTDS.dit הוא מסד הנתונים הראשי עבור Active Directory Services הפועלים על בקר דומיין Windows. קובץ זה מכיל את קוד ה- hash של סיסמאות עבור חשבונות Windows. באמצעות אישורים אלו יכלו פושעי הסייבר להתפשט לרוחב בכל דומיין Windows, תוך גניבת מידע ממכשירי רשת ושרתים.
מקורות מסרו לאתר BleepingComputer כי פושעי הסייבר פרסו בסופו של דבר את DragonForce למארחי VMware ESXi ב- 24 באפריל כדי להצפין מכונות וירטואליות. ל- BleepingComputer נודע כי Marks and Spencer ביקשו עזרה מ- CrowdStrike, Microsoft ו- Fenix24 כדי לחקור את מתקפת הכופרה. עד כה מצביעה החקירה על כך שפושעי סייבר מקבוצת Scattered Spider, או כפי שמיקרוסופט מכנה אותה – Octo Tempest, עומדים מאחורי ההתקפה.
Scattered Spider – קבוצה הידועה גם בשם 0ktapus, Starfraud, UNC3944, Scatter Swine, Octo Tempest ו- Muddled Libra – משתמשת במתקפות הנדסה חברתית, פישינג, אימות רב-גורמי (MFA) bombing (התשת MFA ממוקדת) והחלפת SIM – כדי להשיג גישה ראשונית לרשת המחשוב של ארגונים גדולים. חברי קבוצת הכופרה כוללים צעירים דוברי אנגלית בעלי מערכי כישורים מגוונים הפוקדים את אותם פורומי האקרים, ערוצי טלגרם ושרתי דיסקורד. חלקם נחשבים כחלק מה"Com" – קהילה רופפת המעורבת במעשי אלימות ואירועי סייבר אשר זכו לתשומת לב תקשורתית רחבה.
בעוד שהתקשורת וחוקרי הסייבר מתייחסים בדרך כלל ל- Scattered Spider כחבורה מגובשת, השם משמש למעשה לציון גורמי איום המשתמשים בטקטיקות מסוימות בעת ביצוע מתקפות סייבר. מכיוון שהמתקפות הקשורות לטקטיקות של Scattered Spider מבוצעות בדרך כלל על ידי אנשים שונים ברשת רופפת של גורמי איום, הדבר מקשה על מעקב אחריהם. גורמי האיום התחילו בהונאות פיננסיות ובפריצות לרשתות חברתיות, אך במשך הזמן התקדמו למתקפות הנדסה חברתית מתוחכמות ביותר במטרה לגנוב מטבעות קריפטוגרפיים מאנשים פרטיים, או לפרוץ לארגונים במתקפות סחיטה. Scatted Spider הגבירה את מתקפותיה בספטמבר 2023 כאשר פרצו אנשיה ל- MGM Resorts באמצעות מתקפת הנדסה חברתית בה התחזו לעובד בעת פנייה למוקד התמיכה של החברה. במתקפה זו פרסו פושעי הסייבר את כופרת BlackCat כדי להצפין למעלה מ- 100 היפר-ויזורים של VMware ESXi. היה זה רגע מכונן בנוף הכופרה, שכן זו הייתה האינדיקציה הידועה הראשונה לכך שפושעי סייבר דוברי אנגלית עבדו עם כנופיות כופרה דוברות רוסית.
