Scattered LAPSUS$ Hunters值得关注的威胁更新和未来展望

我们最近发布了一篇名为《黄金尺度：Bling Libra 与不断演变的勒索经济》的洞察文章，主要聚焦于Salesforce数据盗窃勒索活动。该活动与名为“Scattered LAPSUS$ Hunters”的网络犯罪集团有关。自2025年10月初以来，我们在威胁行为者使用的Telegram频道（SLSH 6.0 第3部分）中观察到几个显著进展。此次活动或许能让我们窥见该组织在可预见的未来如何运作。我们提供这些洞察，旨在帮助组织更好地准备和防御这种不断演变的威胁。

敲诈勒索最后期限的后果

正如我们之前的洞察文章所述，Scattered LAPSUS$ Hunters将受影响组织的赎金支付截止日期定为2025年10月10日美国东部时间晚上11:59。此后，新闻报道显示，威胁行为者泄露了据称属于六家公司的被盗数据。这些公司业务涵盖航空、能源和零售行业。泄露的数据据称包含各种类型的个人身份信息（PII），例如姓名、出生日期、电子邮件地址、电话号码和常旅客号码。

Unit 42最近尝试访问与威胁行为者相关的数据泄露网站（DLS），并注意到该网站发布了一条疑似恶意破坏的消息（见图1）。因此，我们无法确定是否仍有受害者数据被列出。

图1. 截至2025年10月17日发布到Bling Libra最新DLS的消息截图。来源：Scattered LAPSUS$ Hunters的DLS。

2025年10月11日，即上述六家机构数据公布并截止日期后的第二天，威胁行为者表示“不会泄露任何其他信息”。“我们拥有的信息不能泄露，原因显而易见”的含义尚不明确（见图2）。这些“原因显而易见”可能意味着执法部门会因数据所有者或其类型而加强关注并采取行动。

图2. 2025年10月11日Telegram向SLSH 6.0 第3部分频道发帖的截图。来源：Telegram。

如下图3所示，威胁行为者似乎可能会在明年年初之前停止任何活动。之后的一篇帖子写道：“我向你保证，你一定会感受到我们的愤怒。”

图3. 2025年10月11日Telegram向SLSH 6.0 第3部分频道发帖的截图。来源：Telegram。

勒索即服务计划广告

2025年10月10日，就在他们自己设定的截止日期前不久，威胁行为者正式暗示将推出他们的勒索即服务（EaaS）计划，如图4所示。他们声称，该EaaS计划将类似于典型的勒索软件即服务（RaaS）计划，但有一个明显的区别：没有文件加密。正如我们在之前的洞察文章中指出的那样，这种转变的一个可能因素是避免引起执法部门的注意。这可能是由于近年来执法部门专注于破坏勒索软件运营。

图4. 2025年10月10日Telegram向SLSH 6.0 第3部分频道发帖的截图。来源：Telegram。

重新开始内部人员访问招聘

2025年10月5日，威胁行为者发布了一则广告，寻求进入各行各业组织的内部渠道，如图5所示。

ReliaQuest在其X账户上也指出，威胁行为者表示，他们的主要兴趣是获取呼叫中心、游戏公司、托管服务提供商、软件即服务（SaaS）和电信组织的访问权限。这些组织的总部可能位于美国、英国、澳大利亚、加拿大和法国等国家。

图5. 2025年10月5日Telegram向SLSH 6.0 第3部分频道发帖的截图。来源：Telegram。

隶属于“The Com”的威胁行为者此前曾公开表示有意与其目标的内部人员合作。这在我们2025年5月关于“混乱的天秤座”（又名“Scattered Spider”）的更新中有所报道。

新型勒索软件的潜在出现

2025年10月4日，威胁行为者声称正在开发一种名为“SHINYSP1D3R”的新型勒索软件，如图6和图7所示。这些帖子似乎与Falconfeeds在2025年8月注意到的观察结果有关。目前尚不清楚上述勒索软件是否仍在开发中，还是仅仅是一个虚假声明。

图6. 2025年10月4日Telegram向SLSH 6.0 第3部分频道发帖的截图。来源：Telegram。

图7. 2025年10月4日Telegram向SLSH 6.0 第3部分频道发帖的截图。来源：Telegram。

接下来会发生什么——以及我的建议

鉴于Scattered LAPSUS$ Hunters新推出的DLS的明网版本目前不可用，因此尚不清楚网站上列出的受害者是否向威胁行为者支付了赎金。

此外，威胁行为者所宣传的EaaS计划是否能像他们所希望的那样，成为一种利润丰厚的商业模式，目前仍存在不确定性。鉴于该广告明确指出，与传统的RaaS计划相比，EaaS计划会移除所有文件加密，考虑到潜在的运营中断风险，组织可能不太愿意支付赎金。

最后，除了试图多元化收入来源之外，威胁行为者为何会对同时运营EaaS和RaaS项目感兴趣尚不明确。Unit 42未来将继续关注此事。

正如我们之前的洞察文章所指出的，一些受害组织（特别是酒店业）的PII（包括忠诚度计划详细信息，例如常旅客号码）的盗窃和泄露，可能使网络犯罪分子能够进行身份盗窃和其他类型的欺诈，包括助长在地下网络犯罪论坛和Telegram频道上宣传的欺诈性旅行社的增长。

鉴于近年来RaaS项目的兴起，许多组织已经制定了专门的事件响应方案，以应对勒索软件事件对运营造成的中断。我认为，现在是时候让组织针对日益增长的EaaS项目威胁创建类似的方案了，特别是要为此类事件带来的声誉风险做好准备。这应该包括通过聘请第三方专家随时待命，协助进行潜在的谈判、验证被盗数据以及其他相关行动。