Scattered Spider黑客认罪:1.15亿美元赎金背后的英国网络犯罪帝国崩塌
2026年6月,英国法院开庭审理Scattered Spider案,两名核心成员在审判首日即认罪。这个横跨英美的网络犯罪团伙在2022至2025年间入侵47个美国机构,收取至少1.15亿美元赎金。本文深度剖析案件始末、攻击手法及企业防御启示。
案件核心:审判首日认罪
2026年6月,英国法院开庭审理备受瞩目的Scattered Spider案。出乎所有人预料的是,两名核心被告——20岁的Thalha Jubair和18岁的Owen Flowers——在审判首日即选择认罪,让这场预计持续六周的审判提前进入量刑阶段。
两人承认的罪名包括:共谋对伦敦交通局(Transport for London)计算机系统实施未授权操作,以及造成严重人身安全风险。2024年8月,Scattered Spider对伦敦交通局发动网络攻击,导致该机构运营遭受严重干扰,影响了整个大伦敦地区的公共交通系统。
Jubair还面临美国执法机构的通缉。2025年9月,新泽西州检察官公开了对Jubair及其他Scattered Spider成员的起诉书,指控他们在2022年5月至2025年9月期间犯有计算机欺诈、电信欺诈和洗钱罪,涉及120次计算机网络入侵,受害者包括47个美国实体。
攻击手法:社会工程学为核心
Scattered Spider的攻击手法在网络安全圈内独树一帜。与依赖技术漏洞的传统黑客不同,该组织将社会工程学(Social Engineering)作为主要入侵手段,通过欺骗IT帮助台和客服人员获取初始访问权限。
典型的攻击流程包括:
| 阶段 | 手法 | 目标 |
|---|---|---|
| 初始访问 | 冒充员工致电IT帮助台,要求重置MFA/密码 | 企业身份认证系统 |
| 权限提升 | 利用合法凭据横向移动,申请更高权限 | Active Directory |
| 持久化 | 部署远程访问工具(RAT),注册新MFA设备 | 终端与网络 |
| 数据窃取 | 导出敏感数据,加密关键系统 | 文件服务器、数据库 |
| 勒索 | 要求加密货币赎金,威胁公开数据 | 企业决策层 |
# 检测Scattered Spider典型TTP(MITRE ATT&CK映射)
# T1078 - Valid Accounts: 检查异常MFA注册
grep -i "mfa.*register\|mfa.*add" /var/log/auth.log | \
awk '{print $1,$2,$3,$NF}' | sort | uniq -c | sort -rn
# T1566 - Phishing: 检查帮助台异常密码重置请求
# 关注非工作时间的重置请求和来自异常IP的工单
医疗行业:重点攻击目标
Scattered Spider的攻击目标覆盖多个关键行业,但医疗行业遭受的打击尤为严重。根据法庭文件,Owen Flowers单独承认参与了2024年9月对美国医疗提供商SSM Health Care Corporation和Sutter Health的网络攻击。
这两家医疗机构在美国中西部和加利福尼亚州运营着数十家医院和数百家诊所。针对医疗机构的攻击不仅造成经济损失,更直接威胁患者生命安全。当医院系统被加密后,急诊分诊、用药记录、手术排程等关键流程被迫中断。
| 受害医疗企业 | 服务范围 | 攻击影响 |
|---|---|---|
| SSM Health Care | 美国中西部7州,23家医院 | 系统加密,急诊分流 |
| Sutter Health | 加州北部,24家医院 | 患者数据泄露 |
| MGM Resorts(非医疗) | 拉斯维加斯赌场酒店 | 1亿美元损失 |
执法行动:跨国合作的里程碑
Scattered Spider案的侦破是国际执法合作的典型案例。英国国家犯罪局(NCA)、美国联邦调查局(FBI)、加拿大安大略省警察等多个机构协同作战。
关键执法时间线:
- 2025年7月:KrebsOnSecurity公开确认Flowers和Jubair的身份
- 2025年7月:英国执法机构逮捕两人
- 2025年9月:美国新泽西州公布起诉书
- 2026年6月:审判开始,两人首日认罪
值得注意的是,Flowers年仅18岁,Jubair也只有20岁。这反映出网络犯罪低龄化的趋势——越来越多的青少年被招募进入网络犯罪生态系统,部分原因在于暗网论坛降低了技术门槛,使得年轻攻击者能够快速上手。
赎金规模:1.15亿美元的冰山一角
法庭文件披露,Scattered Spider的受害者支付了至少1.15亿美元赎金。但安全研究人员认为这只是冰山一角——许多企业选择私下支付赎金而不向执法机构报告。
从赎金支付方式来看,Scattered Spider主要要求比特币和门罗币支付。部分赎金通过混币器(如Tornado Cash的替代方案)进行洗钱,增加了追踪难度。
# 比特币地址聚类分析示例(Chainalysis风格)
import json
# 已知的Scattered Spider关联比特币地址(示例)
known_addresses = {
"bc1q_scattered_001": "primary_wallet",
"bc1q_scattered_002": "secondary_wallet",
}
# 交易图谱追踪
def trace_funds(address, depth=3):
"""递归追踪资金流向,识别混币器入口"""
visited = set()
queue = [(address, 0)]
while queue:
current, d = queue.pop(0)
if d >= depth or current in visited:
continue
visited.add(current)
# 调用区块链API获取交易
# txs = blockchain_api.get_transactions(current)
# for tx in txs:
# queue.append((tx.output_address, d+1))
return visited
企业防御:5项关键措施
针对Scattered Spider的攻击手法,企业应重点加强以下防御措施:
| 防御层级 | 具体措施 | 实施难度 |
|---|---|---|
| 身份验证 | 帮助台电话回拨确认 + 管理员审批MFA变更 | 中 |
| 网络分段 | 零信任架构,限制横向移动路径 | 高 |
| 终端检测 | EDR规则匹配Scattered Spider已知IOC | 低 |
| 员工培训 | 针对帮助台的社会工程学演练 | 低 |
| 事件响应 | 预置医疗/关键基础设施IR剧本 | 中 |
# YARA规则:检测Scattered Spider常用工具
rule Scattered_Spider_Tools {
meta:
description = "Detects tools used by Scattered Spider"
author = "Security Research"
date = "2026-06"
strings:
$s1 = "Raccoon Stealer" ascii
$s2 = "Mystic Stealer" ascii
$s3 = "DACTYLOGRAPH" ascii
$helpdesk_bypass = "password_reset" nocase
condition:
any of ($s*) or $helpdesk_bypass
}
行业启示:网络犯罪即服务的进化
Scattered Spider案件揭示了网络犯罪生态系统的重要演变。该组织并非传统的勒索软件运营商,而是一个松散的联盟,成员分工明确:
- 初始访问代理(IAB):负责社会工程学入侵
- 勒索软件运营商:部署加密载荷
- 洗钱网络:处理赎金流转
- 技术支持:提供工具和基础设施
这种**网络犯罪即服务(Cybercrime-as-a-Service)**模式使得即使核心成员被捕,新的替代者也能迅速填补空缺。安全研究机构Intel 471的数据显示,2026年上半年暗网论坛上活跃的IAB数量同比增长了67%。
对于企业而言,单纯依赖技术防御已经不够。建立弹性安全架构(Resilient Security Architecture)——假设已被入侵、重点限制损害范围——才是应对这类威胁的正确策略。
数据来源与参考文献
- Krebs on Security. "Scattered Spider Hackers Plead Guilty on Day 1 of Trial." krebsonsecurity.com, June 2026.
- BBC News. "Scattered Spider trial: Hackers plead guilty to Transport for London cyber-attack." bbc.co.uk, June 2026.
- U.S. DOJ. "Criminal Complaint: United States v. Jacob Butler." justice.gov, 2026.
- MITRE ATT&CK. "Scattered Spider Group." attack.mitre.org, 2026.
- Intel 471. "Underground Forum Activity Report H1 2026." intel471.com, 2026.
更新时间:2026-06-24
评论