Przejdź do treści
Breachroad
Wróć do bloga
Ransomware

Scattered Spider: telefon, który położył handel

W 2025 Scattered Spider sparaliżował brytyjski handel. Bronią nie był 0-day, lecz telefon do helpdesku. Analizujemy technikę i obronę.

KR
Karol Rapacz
13 maja 2025 · 10 min czytania
Scattered Spider: telefon, który położył handel

Wiosną 2025 roku brytyjski handel detaliczny doświadczył serii ataków, które na tygodnie sparaliżowały część działalności największych sieci. Marks & Spencer wstrzymał zamówienia online, Co-op mierzył się z pustymi półkami przez zakłócenia w łańcuchu dostaw, a Harrods ograniczał dostęp do systemów. Sprawców — grupę Scattered Spider (znaną też jako UNC3944) — łączy z tymi atakami jedno narzędzie, które nie jest żadnym 0-dayem: telefon do helpdesku. To najlepsza możliwa lekcja o tym, że najsłabszym ogniwem wciąż jest proces, nie technologia.

Kim jest Scattered Spider

To luźna grupa młodych, anglojęzycznych napastników, biegłych nie w pisaniu exploitów, lecz w socjotechnice. Ich znak rozpoznawczy to dzwonienie na wewnętrzne helpdeski i podszywanie się pod pracowników w celu zresetowania hasła lub MFA. Wcześniej zasłynęli z ataków na branżę kasyn i technologię; w 2025 przenieśli uwagę na handel, a potem na ubezpieczenia i lotnictwo. Do finalnego szyfrowania używali gotowego ransomware (model RaaS) — sami dostarczali to, w czym byli najlepsi: wejście przez człowieka.

Anatomia ataku: od telefonu do szyfrowania

Schemat jest zaskakująco powtarzalny i nie wymaga żadnej „magii”:

  1. Rozpoznanie. Napastnik zbiera z LinkedIn i wycieków dane pracownika, którego będzie udawał, oraz osoby z helpdesku, do której zadzwoni.
  2. Telefon do helpdesku. „Cześć, tu Jan z działu X, zmieniłem telefon i nie mogę się zalogować, zresetujcie mi MFA.” Pewny ton, znajomość szczegółów, presja czasu.
  3. Reset MFA. Jeśli helpdesk zresetuje drugi składnik bez twardej weryfikacji tożsamości — atakujący rejestruje własne urządzenie i loguje się jako pracownik.
  4. Eskalacja i ruch boczny. Z dostępem do konta napastnik zbiera kolejne poświadczenia, celuje w Active Directory i systemy krytyczne.
  5. Szyfrowanie. Po dniach rozpoznania uruchamiane jest ransomware, często w połączeniu z kradzieżą danych (podwójne wymuszenie).

Zwróć uwagę: kroki 4–5 to klasyczny łańcuch ransomware. Nowością nie jest finał, lecz wejście — przez rozmowę telefoniczną, a nie przez lukę w oprogramowaniu.

Dlaczego to działa i jak się bronić

Helpdesk jest zaprojektowany, by pomagać — szybko odblokowywać zablokowanych ludzi. Napastnik wykorzystuje dokładnie tę misję. Obrona nie polega na uczynieniu helpdesku nieuprzejmym, lecz na wpięciu twardych bramek w proces resetu:

Weryfikacja tożsamości niezależnym kanałem. Reset hasła czy MFA nie może opierać się na informacjach, które da się zebrać z internetu (data urodzenia, numer pracownika). Konieczna jest weryfikacja wideo z dokumentem, potwierdzenie przez przełożonego albo kod z zaufanego, wcześniej zarejestrowanego urządzenia. Dla kont uprzywilejowanych — poprzeczka jeszcze wyżej.

MFA odporne na phishing. Passkeye i klucze FIDO2 nie eliminują ataku na proces resetu, ale utrudniają wykorzystanie przejętego konta i zmniejszają liczbę „legalnych” powodów do resetu.

Alerty na wrażliwe operacje. Rejestracja nowej metody MFA, reset dla konta uprzywilejowanego, logowanie z nowego urządzenia zaraz po resecie — to sygnały, które muszą trafiać do monitoringu, nie w próżnię.

Skrypt odmowy dla helpdesku. Zespół wsparcia musi mieć jasną, przećwiczoną listę: czego nigdy nie robi przez telefon, niezależnie od tego, jak przekonująco i pilnie brzmi rozmówca. „Nie mogę tego zrobić przez telefon, oto bezpieczna ścieżka” nie jest niegrzeczne — jest profesjonalne.

Ćwiczenia socjotechniczne. Najlepszy test to kontrolowana próba: zadzwońcie sami (za zgodą) do własnego helpdesku i sprawdźcie, czy da się zresetować MFA bez twardej weryfikacji. To standardowy element naszych testów socjotechnicznych.

Szerszy kontekst 2025

Ataki Scattered Spider na handel to część większego trendu roku: napastnicy coraz częściej wybierają drogę przez ludzi i dostawców, a nie przez łatane luki. To ten sam kierunek, co przy kradzieży tokenów OAuth czy manipulacji interfejsem w napadzie na Bybit. Wspólny mianownik: technologia bywa dobrze zabezpieczona, więc atak przenosi się na proces i zaufanie.

Najczęstsze pytania (FAQ)

Nie jesteśmy siecią handlową. Czy to nas dotyczy? Tak — technika jest branżowo neutralna. Każda organizacja z helpdeskiem resetującym hasła i MFA jest podatna na ten sam scenariusz. Scattered Spider po handlu zaatakował ubezpieczenia i lotnictwo dokładnie tą samą metodą.

Mamy MFA. Czy to nie wystarczy? MFA chroni logowanie, ale ten atak celuje w proces jego resetowania. Jeśli helpdesk zresetuje drugi składnik komuś, kto się dobrze podszył, MFA zostaje ominięte legalną ścieżką. Dlatego zabezpieczyć trzeba nie tylko logowanie, ale i odzyskiwanie dostępu.

Jak w praktyce weryfikować tożsamość przy resecie? Warstwowo, zależnie od wrażliwości konta: dla zwykłych — kod z zarejestrowanego urządzenia lub potwierdzenie menedżera; dla uprzywilejowanych — weryfikacja wideo z dokumentem i druga osoba akceptująca. Kluczowe: nie polegać na danych, które da się znaleźć w internecie.

Czy da się to przetestować, zanim zaatakuje ktoś prawdziwy? Tak, i warto. Kontrolowany test socjotechniczny wymierzony w helpdesk pokazuje dokładnie, czy Wasz proces resetu wytrzyma taki telefon. To jeden z najbardziej „opłacalnych” testów — luka jest tania do wykorzystania i tania do naprawienia.

Co zrobić natychmiast po podejrzeniu takiego włamania? Traktuj jak aktywny incydent: unieważnij sesje i zresetuj poświadczenia podejrzanego konta, sprawdź nowo zarejestrowane urządzenia i metody MFA, przejrzyj reguły skrzynki i logowania. Przy śladach ruchu bocznego — uruchom reagowanie na incydent, zanim dojdzie do szyfrowania.

Podsumowanie

Scattered Spider udowodnił w 2025 roku, że nie trzeba 0-daya, by położyć giganta handlu — wystarczy przekonujący telefon do helpdesku i słaby proces resetu MFA. Obrona jest równie „nietechniczna”: twarda weryfikacja tożsamości przy odzyskiwaniu dostępu, alerty na wrażliwe operacje, skrypt odmowy i regularne ćwiczenia. Jeśli chcesz sprawdzić, czy Twój helpdesk obroni się przed takim telefonem, przetestujemy to — kontrolowanie i z konkretnymi wnioskami.


Źródła i dalsza lektura: NCSC UK, Sekurak, Niebezpiecznik.

Udostępnij artykuł

Usługi Umów konsultację