帕洛阿尔托网络(Palo Alto Networks)旗下Unit 42的研究人员观察到,与Bling Libra犯罪集团关联的网络犯罪组织“Scattered LAPSUS$ Hunters”活动激增,标志着其战略转向勒索即服务(EaaS)运营,并重启内部人员招募活动。
最新发现详细揭示,该组织在高调的Salesforce数据窃取勒索活动基础上,正试验新的 monetization 模式,甚至暗示开发名为SHINYSP1D3R的新型勒索软件。
Unit 42分析指出:“自2025年10月初以来,我们在威胁行为者使用的Telegram频道(SLSH 6.0 part 3)中观察到多项显著动向。”
在10月10日勒索 deadline 过后,Scattered LAPSUS$ Hunters据称泄露了来自航空、能源和零售行业六家组织的被盗数据,包括姓名、出生日期、电话号码和常旅客详情等个人身份信息(PII)。
当Unit 42调查人员试图重新访问该组织的数据泄露网站(DLS)时,发现网站已被篡改并显示未知消息,无法确认泄露信息是否仍在网上可用。
泄露事件后不久,该组织声称已停止新的披露,发文称“不会再泄露其他内容”,并隐晦补充:“我们掌握的某些信息因明显原因无法泄露。”
Unit 42推测,“明显原因”可能与执法压力或被盗数据的敏感性有关。
2025年10月10日,就在勒索 deadline 前几小时,Scattered LAPSUS$ Hunters公开预告推出自有勒索即服务(EaaS)平台——这显然是传统勒索软件即服务(RaaS)模式的重新包装,但不涉及文件加密。
Unit 42认为,这一转向可帮助该组织通过仅专注于数据窃取和勒索,而非通常引发国际执法行动的加密攻击,来规避检测和起诉。
在2025年10月5日的另一条Telegram帖子中,该组织重启了内部人员访问权限招募计划,寻求愿意出售跨行业访问凭证的员工。
Unit 42分析强调,Scattered LAPSUS$ Hunters正特别针对美国、英国、澳大利亚、加拿大和法国的呼叫中心、游戏公司、托管提供商、SaaS和电信组织。
这种策略与Muddled Libra(又名Scattered Spider)此前记录的战术高度一致,后者曾利用内部人员进行SIM卡劫持和企业网络访问。
Unit 42监控中最引人关注的发现是,该组织提及据称正在开发的新型勒索软件家族。2025年10月4日,该组织在Telegram频道发布了名为“SHINYSP1D3R”的项目信息。
尽管尚不清楚SHINYSP1D3R是真实威胁,还是旨在制造恐惧和炒作的心理战,但这一名称与Falconfeeds 2025年8月在地下论坛观察到的类似别名相吻合。
Unit 42分析师警告,该组织迄今无加密活动记录,支持以下理论:这款勒索软件可能是品牌营销手段,而非实际运营工具——其目的可能是吸引附属成员加入新的EaaS计划。
发表评论
您还未登录,请先登录。
登录