أعلنت الوكالة الوطنية للجريمة في المملكة المتحدة (NCA)، يوم الخميس، عن إلقاء القبض على أربعة أشخاص على خلفية هجمات إلكترونية استهدفت متاجر التجزئة الكبرى: Marks & Spencer، Co-op، وHarrods.
شملت قائمة المعتقلين شابين يبلغان من العمر 19 عامًا، وثالث يبلغ 17 عامًا، إضافة إلى امرأة تبلغ من العمر 20 عامًا. وقد تم القبض عليهم في منطقتي ويست ميدلاندز ولندن، بتهم تتعلق بانتهاك قانون إساءة استخدام الحواسيب، والابتزاز، وغسل الأموال، والمشاركة في أنشطة جماعة إجرامية منظمة.
وأوضحت الوكالة أن عمليات القبض تمت في منازل المتهمين، وتمت مصادرة أجهزتهم الإلكترونية لتحليلها جنائيًا. ولم يتم الإعلان عن أسمائهم.
وقال بول فوستر، نائب مدير الوكالة ورئيس وحدة الجريمة السيبرانية الوطنية: “منذ وقوع هذه الهجمات، يعمل محققو الجرائم الإلكترونية التابعون للوكالة بوتيرة متسارعة، ولا تزال القضية تحتل أولوية قصوى لدى الوكالة”. وأضاف: “الاعتقالات تمثل خطوة مهمة في التحقيق، لكن العمل لا يزال مستمرًا بالتعاون مع شركائنا في المملكة المتحدة وخارجها لضمان محاسبة المسؤولين”.
وبحسب مركز المراقبة السيبرانية (CMC)، فإن الهجمات التي استهدفت Marks & Spencer وCo-op في أبريل 2025 اعتُبرت “حادثًا إلكترونيًا موحدًا” وتُقدّر خسائره المالية ما بين 270 مليون جنيه إسترليني (363 مليون دولار) و440 مليون جنيه إسترليني (592 مليون دولار).
استخدام تقنيات متقدمة في الهندسة الاجتماعية لاختراق الأنظمة
لم تسمّ الوكالة الجماعة الإجرامية المسؤولة، لكن يُعتقد أن بعض هذه الهجمات نُفذت من قِبل جماعة إلكترونية لا مركزية تُعرف باسم Scattered Spider، وهي معروفة باستخدامها تقنيات متقدمة في الهندسة الاجتماعية لاختراق الأنظمة ونشر برمجيات الفدية.
وخلال جلسة استماع للجنة الفرعية للأمن الاقتصادي والتجارة والرقابة على الأسلحة والصادرات في البرلمان البريطاني في 8 يوليو، أفادت شركة Marks & Spencer بأن الهجوم الذي تعرضت له كان باستخدام برمجيات الفدية ونفذته مجموعة DragonForce بالتعاون مع فاعلين آخرين “مرتبطين بشكل غير مباشر”.
وقال غرايسون نورث، مستشار الأمن السيبراني في شركة GuidePoint Security: “رغم أن برمجيات الفدية تمثل تهديدًا دائمًا، فإن مجموعة Scattered Spider تمثل خصمًا ماهرًا ومُلحًا، وعملياتها أثبتت فعاليتها حتى ضد المؤسسات التي تمتلك برامج أمنية ناضجة”.
وأضاف: “نجاح هذه الجماعة لا يعود لتكتيكات جديدة أو مبتكرة، بل لقدرتها الفائقة على تنفيذ الهندسة الاجتماعية وإصرارها الشديد على الحصول على وصول أولي إلى الضحايا”.
إجادة النطق باللغة الإنجليزية منح المهاجمين أفضلية في تنفيذ المكالمات الاحتيالية
ويُشار إلى أن معظم الأفراد المرتبطين بهذه الجماعة هم من الشباب الناطقين باللغة الإنجليزية، مما يمنحهم أفضلية في تنفيذ المكالمات الاحتيالية إلى فرق الدعم التقني، متظاهرين بأنهم موظفون داخليون.
وتُعد Scattered Spider جزءًا من شبكة أكبر تُعرف باسم The Com، وهي مجموعة مترابطة بشكل فضفاض مسؤولة عن طيف واسع من الجرائم، بما في ذلك الهندسة الاجتماعية، والتصيّد الاحتيالي، وانتحال الهوية عبر شريحة SIM، والابتزاز، والابتزاز الجنسي، والتبليغ الكاذب، والاختطاف، وحتى القتل.
ووفقًا لشركة Halcyon، تتبع الجماعة استراتيجية استهداف انتهازية ومدروسة، تتنقل بين القطاعات الجغرافية والصناعية بناءً على مدى الظهور، وإمكانات الربح، ومستوى الضغط الأمني.
وأفادت شركة Mandiant، التابعة لشركة Google، بأن Scattered Spider تميل إلى تركيز جهودها على قطاع واحد في كل مرة، بينما تحافظ على تكتيكاتها وإجراءاتها الأساسية دون تغيير. وتشمل هذه الإجراءات إنشاء نطاقات تصيّد تحاكي بوابات الدخول المؤسسية الشرعية، لخداع الموظفين والكشف عن بيانات اعتمادهم.
تدريب فرق الدعم الفني على التحقق الصارم من الهوية
وقال تشارلز كارماكال، المدير التقني لشركة Mandiant Consulting في Google Cloud: “يمكن للمؤسسات اتخاذ تدابير استباقية مثل تدريب فرق الدعم الفني على التحقق الصارم من الهوية وتطبيق المصادقة متعددة العوامل المقاومة للتصيّد لمنع مثل هذه الاختراقات”.
كما اعتبر كارماكال أن الاعتقالات الأخيرة لأعضاء مشتبه بانتمائهم إلى Scattered Spider تُعد “نصرًا مهمًا” في الحرب على الجريمة الإلكترونية، مشددًا على أهمية التعاون الدولي لمواجهة مثل هذه التهديدات.
وأضاف: “تكتيكاتهم العنيفة في الهندسة الاجتماعية وسعيهم الدائم للوصول تسببوا بأضرار كبيرة للمؤسسات في المملكة المتحدة والولايات المتحدة. وقد أثرت الاعتقالات السابقة على عملياتهم، وتسببت في تراجع ملحوظ في نشاطهم. وهذه فرصة حاسمة أمام المؤسسات لتعزيز دفاعاتها”.
وفي تحديث لاحق، أفاد الصحفي المتخصص في الأمن السيبراني براين كريبس بأن من بين المقبوض عليهم شابين هما: أوين ديفيد فلاورز (المعروف بالأسماء المستعارة bo764 وHoly وNazi)، وثالث يُدعى ثالها جُبير (المعروف بـ Earth2Star وOperator)، والذي يُعتقد أيضًا أنه عضو أساسي في مجموعة LAPSUS$ التابعة لشبكة The Com، وكان يدير موقع Doxbin المُستخدم لنشر البيانات الشخصية الحساسة، “حتى وقت قريب”.
وقال زاك إدواردز، الباحث في مجال التهديدات في شركة Silent Push: “تم القبض على ما يقرب من 12 عضوًا في Scattered Spider خلال الـ18 شهرًا الماضية، ومن الواضح الآن أن أجهزة إنفاذ القانون تلاحق هؤلاء الأفراد بجدية”.
وأضاف: “يبدو أن قيادة Scattered Spider تدفع بصغار أعضائها إلى الواجهة، فيجعلونهم يتصلون بخطوط الدعم الفني لتنفيذ عمليات تصيّد صوتية، ما يجعل بصمات أصواتهم عرضة للتتبع. هؤلاء الشباب يُجبرون على القيام بمثل هذه المكالمات وهم دون سن 18، وهم يظنون أنها وسيلة للثراء السريع، لكنها في الحقيقة طريق سريع إلى السجن”.
وختم قائلًا: “من المدهش أن Scattered Spider انتقلت من استخدام بنى تحتية إلكترونية تُمكّنها من الحفاظ على التخفي، إلى الاعتماد الكبير حاليًا على الاتصالات الصوتية، مما يجعل أعضائها مكشوفين بشكل مستمر للتحقيقات والاتهامات المحتملة”.
