Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Scattered Lapsus$ и «Троица хаоса»: новая волна киберугроз

3 мин
Консорциум угроз, обозначаемый как Scattered Lapsus$ и включающий в себя, по оценкам аналитиков, членов групп Muddled Libra, Bling Libra и LAPSUS$, инициировал новую серию атак, в центре внимания которых — розничная торговля и гостиничный сектор. Этот конгломерат, прозванный «Троица хаоса», специализируется на вымогательстве данных: злоумышленники целенаправленно атакуют арендаторов Salesforce с целью похищения конфиденциальной информации и требования выкупа. Scattered Lapsus$ представляет собой межгрупповое партнерство, в котором объединяются ресурсы и компетенции нескольких киберпреступных коллективов. В результате такого слияния атакующие получают доступ к более широкому арсеналу тактик и инструментов, что повышает риск для корпоративных клиентов в уязвимых отраслях. 3 октября 2025 года Bling Libra представила модель Extortion-as-a-Service (EAAs). Новый сервис использует инфраструктуру существующих форумов по киберпреступности и позволяет организаторам вымогательств расширить охват
Оглавление
Источник: unit42.paloaltonetworks.com
Источник: unit42.paloaltonetworks.com

Консорциум угроз, обозначаемый как Scattered Lapsus$ и включающий в себя, по оценкам аналитиков, членов групп Muddled Libra, Bling Libra и LAPSUS$, инициировал новую серию атак, в центре внимания которых — розничная торговля и гостиничный сектор. Этот конгломерат, прозванный «Троица хаоса», специализируется на вымогательстве данных: злоумышленники целенаправленно атакуют арендаторов Salesforce с целью похищения конфиденциальной информации и требования выкупа.

Кто стоит за операциями

Scattered Lapsus$ представляет собой межгрупповое партнерство, в котором объединяются ресурсы и компетенции нескольких киберпреступных коллективов. В результате такого слияния атакующие получают доступ к более широкому арсеналу тактик и инструментов, что повышает риск для корпоративных клиентов в уязвимых отраслях.

  • Muddled Libra — одна из групп-участниц, ранее замеченная в целенаправленных компрометациях;
  • Bling Libra — инициатор нового коммерческого предложения для преступного сообщества;
  • LAPSUS$ — известная своими резонансными операциями по краже данных и последующему шантажу;
  • Crimson Collective — недавно замеченный партнёр, сотрудничество с которым расширяет возможности скоординированных кампаний.

Ключевое изменение: запуск Extortion-as-a-Service

3 октября 2025 года Bling Libra представила модель Extortion-as-a-Service (EAAs). Новый сервис использует инфраструктуру существующих форумов по киберпреступности и позволяет организаторам вымогательств расширить охват среди потенциальных соисполнителей и заказчиков атак. По сути, EAAs коммерциализирует вымогательство, снижая порог входа для менее опытных акторов и способствуя масштабированию операций.

Методы и тактика

Аналитики отмечают несколько характерных особенностей атак:

  • фокус на арендаторах Salesforce и других SaaS‑платформах как на источниках крупного объёма данных;
  • комбинация сложных методов проникновения и социальной инженерии для обхода защиты;
  • целенаправленное извлечение и последующее раскрытие данных с целью давления на жертв;
  • координация между группами-участницами для одновременных или последовательных атак на связанные компании и цепочки поставок.

Заявления о «выходе на пенсию» и реакция экспертов

«Scattered Lapsus$ объявила о прекращении активности и уходе из киберпреступного бизнеса.»

Тем не менее отраслевые эксперты относятся к таким заявлениям скептически: цепочка недавних атак и продолжающиеся утечки данных демонстрируют, что операционные возможности конгломерата остаются в силе. Специалисты считают, что подобные «заявления об уходе» часто используются как прикрытие или переточки перед реструктуризацией и возобновлением активности под новыми брендами.

Что это значит для бизнеса

Межгрупповое сотрудничество, коммерциализация вымогательства и расширение каналов распространения атак повышают риски масштабных утечек данных. Для ритейла и гостиничного сектора это означает потенциальные финансовые потери, репутационные риски и нарушение цепочек поставок.

Рекомендации для организаций

Эксперты по кибербезопасности настоятельно рекомендуют предпринять следующие меры:

  • усилить мониторинг и логирование доступа к SaaS‑сервисам (включая Salesforce);
  • внедрить многофакторную аутентификацию и ограничение привилегий по принципу минимально необходимых прав;
  • пересмотреть и реализовать принципы Zero Trust в архитектуре сети и доступов;
  • регулярно делать резервные копии данных и проверять планы восстановления после инцидентов;
  • поддерживать актуальные процессы инцидент‑реакции и сценарии взаимодействия с правоохранительными органами;
  • участвовать в обмене threat intelligence с отраслевыми партнёрами и профильными CERT/SOC;
  • проводить регулярные проверки поставщиков и аудит конфигураций SaaS‑интеграций.

Вывод

Появление Scattered Lapsus$ и запуск Extortion-as-a-Service усиливают давление на организации в розничной торговле и гостиничном бизнесе. Пока заявления об уходе выглядят сомнительно, компаниям следует действовать проактивно: повышать свою кибер­гигиену, укреплять защитные механизмы и готовиться к быстрому реагированию на инциденты, чтобы минимизировать последствия возможных утечек и шантажа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Scattered Lapsus$ и "Троица хаоса": новая волна киберугроз".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.