NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Na początku sierpnia bieżącego roku w serwisie Telegram pojawił się kanał o nazwie shinysp1d3r, łączący trzy znane grupy cyberprzestępcze: Lapsus$, Scattered Spider oraz ShinyHunters. Współpraca między grupami została de facto potwierdzona przez samych członków organizacji, a treści publikowane na kanale nawoływały do krytyki władzy, stanowiły element wymuszeń i szantażu oraz potwierdzały fakt przeprowadzenia ataków. Kanał został szybko zablokowany i usunięty z serwisu, jednak na jego miejsce powstało kilka kolejnych (również sukcesywnie blokowanych).
TLDR:
W otwartych źródłach można znaleźć zrzuty ekranu z przykładowymi treściami publikowanymi przez cyberprzestępców, lecz z uwagi na fakt, że kanały te nie są już dostępne, nie da się potwierdzić ich autentyczności.
Badacze bezpieczeństwa z Obsidian od dawna podejrzewali powiązania między tymi grupami. Na forach dla cyberprzestępców pojawiały się informacje o rzekomym łączeniu pojedynczych grup w celu realizacji wspólnych działań. Współpraca obejmowała wiele aspektów m.in.: wymianę taktyk, technik i wiedzy, udostępnianie posiadanych zasobów, koordynowanie ataków. Każda z tych grup różni się specjalizacją oraz motywacjami, a ich połączenie stanowi poważne zagrożenie.
Scatterred Spider jest grupą, której głównym celem jest zysk finansowy. Jest aktywna od 2022 roku i znana przede wszystkim z ataków typu voice-phishing oraz sim-swapping. Jej celem były m.in. firmy z sektora telekomunikacyjnego, handlu detalicznego i ubezpieczeń.
Grupa Lapsus$ stała się sławna w latach 2021-2022, głównie z powodu głośnych ataków na firmy takie jak Nvidia czy Okta. Charakteryzowała się przede wszystkim wykorzystaniem technik inżynierii społecznej, phishingiem, vishingiem oraz publicznym szantażem.
ShinyHunters to grupa cyberprzestępcza, wyspecjalizowana w kradzieży baz danych oraz szantażu, w celu uzyskania okupu. Jej główną motywacją jest zysk finansowy oraz budowanie rozgłosu. W 2025 r. zrobiło się o niej ponownie głośno na skutek ataku na aplikacje chmurowe takie jak Salesforce.
Członkowie powyższych grup często organizują się w mniejsze podgrupy, co utrudnia atrybucję i sprawia że krajobraz zagrożeń staje się coraz bardziej dynamiczny i nieprzewidywalny. W ostatnich latach wzięli odpowiedzialność za szereg ataków, z których najgłośniejszymi są:
12 września 2025 r. na jednym z forum dla cyberprzestępców użytkownik o pseudonimie Dissent wydał oświadczenie, z którego wynika iż grupy (LAPSUS$, Scattered Spider, ShinyHunters) osiągnęła zaplanowane cele i kończy swoją działalność.
Zapowiedź zakończenia wspólnych działań najprawdopodobniej stanowi tylko czasową przerwę, być może w celu przegrupowania oraz adaptacji metod do nowych celów. Taka chwilowa pauza może świadczyć o planowaniu kolejnych kampanii, testowaniu skuteczności dotychczasowych taktyk oraz przygotowaniu do ewentualnego powrotu pod nowym szyldem.
Niezależnie od rozwoju przyszłych wydarzeń organizacje muszą wzmocnić obronę opartą o czynnik ludzki, ponieważ większość ataków rozpoczynała się od inżynierii społecznej. Ponadto, stała wymiana informacji o zagrożeniach oraz proaktywna współpraca w zakresie reagowania na incydenty pozwoli na szybsze wykrywanie zagrożeń, a co za tym idzie ograniczy skutki ewentualnych naruszeń bezpieczeństwa.
Źródło: obsidiansecurity.com, vectra.ai
~_secmike
