Kelompok peretas yang berhasil menembus pertahanan online retailer Inggris Marks and Spencer telah menghabiskan berbulan-bulan tahun ini membuat jebakan digital untuk menipu karyawan perusahaan besar agar memberikan kata sandi mereka.
Scattered Spider — digambarkan pakar keamanan sebagai geng kriminal yang suka bicara kasar dan penipu berbahasa Inggris — terlihat mendaftarkan situs web dengan nama mirip perusahaan dan menyempurnakan alat malware mereka.
Taktik utama mereka adalah meneliti karyawan perusahaan, lalu berpura-pula menjadi mereka lewat telepon, dan menipu rekan kerja lain untuk memberikan informasi penting yang memicu serangan siber.
Gabungan antara jebakan online dan tipu daya di dunia nyata ini telah menyebabkan peretasan terkenal beberapa tahun terakhir, termasuk serangan 2023 ke MGM Casinos and Resorts di Las Vegas yang menghentikan operasi hotel di sana.
Mereka baru saja menembus pertahanan M&S bulan lalu, menyebabkan kerugian hingga £300 juta dan menghapus lebih dari £600 juta dari nilai pasar perusahaan.
© CROWDSTRIKE
Bukan hanya uang. Mereka yang mempelajari Scattered Spider mengatakan anggotanya juga mengejar kejayaan.
"Mereka tidak hanya termotivasi uang — mereka suka pujian dan perhatian media," kata Charles Carmakal, CTO Mandiant Consulting.
Peretas ini adalah pemimpin di industri ransomware. Tahun 2023 saja, korban membayar lebih dari $1 miliar pada geng yang menyandera data mereka.
Taktik mereka semakin matang. Scattered Spider fokus pada pelanggaran awal, sementara geng lain menjual perangkat lunak enkripsi atau menangani tuntutan tebusan.
Scattered Spider menyerahkan negosiasi tebusan pada geng lain bernama Dragon Force. Jika M&S membayar, Dragon Force akan membuka atau menghapus data perusahaan.
M&S, yang bekerja dengan penegak hukum, menolak berkomentar lebih detail.
Scattered Spider cepat bergerak. Zach Edwards, peneliti ancaman dari Silent Push, mengatakan dia sudah mencoba memperingatkan banyak perusahaan lain dalam beberapa bulan terakhir.
Termasuk Audemars Piguet, Tinder, Louis Vuitton, Forbes, News Corp, bahkan Chick-fil-A. Belum ada bukti peretasan berhasil di perusahaan-perusahaan itu.
Setelah Paskah, pusat bantuan retailer AS mulai menerima telepon dari orang yang mengaku karyawan — kemungkinan anggota Scattered Spider.
"Mereka biasanya menyerang beberapa perusahaan di sektor yang sama sebelum pindah," kata Carmakal dari Mandiant (milik Google), yang mendapat banyak panggilan darurat.
M&S belum menjelaskan bagaimana sistem mereka ditembus, tapi Dynarisk mengatakan kredensial dari retailer Inggris diperdagangkan di forum online.
Scattered Spider terkenal mahir dalam "social engineering", di mana mereka mempelajari jejak online karyawan level menengah untuk melewati petugas help desk.
"Mereka memilih target — mungkin developer senior — lalu tahu nama asli, alamat rumah, bahkan membeli profil dari broker data," kata Edwards.
Di serangan sebelumnya, peretas berpura-pula sebagai pekerja IT karena akun mereka punya akses luas. Saat menyerang MGM, kata sandi lama seorang IT ternyata varian dari nama kucingnya.
Dalam rekaman dikirim ke FT via Telegram, seseorang dengan aksen Amerika bilang: "Hai, kayanya aku terkunci dari email — bisa bantu sekarang atau aku telepon saat jam kerja?"
Orang ini mengaku dibayar dengan cryptocurrency Ethereum tapi pembayaran terakhir tidak datang. Dia mengeluh di channel Telegram penuh meme rasis, lalu menghapus akunnya saat diminta bukti lebih lanjut.
Peretas ini memakai nama samaran seperti Spider1, Spider2 untuk melindungi identitas, menurut anggota yang terlibat peretasan MGM.
Walau begitu, beberapa ditangkap tahun lalu di Spanyol, AS, dan Inggris. Setelah jeda, Scattered Spider kembali muncul.
Bahkan, perusahaan keamanan CrowdStrike menjual figure aksi grup peretas ini.
Sebelum menghapus akun, orang yang mengaku bekerja dengan mereka bilang: "Yang kuinginkan cuma petualangan seru sama Spider. Mischief sebelum money."
Laporan tambahan oleh Laura Onita dan Kieran Smith.
(Ada beberapa kesalahan kecil seperti "uang" ditulis "uang" dan "pujian" seharusnya "pujian".)