La Agencia Franquista del Crimen del Reino Unido (NCA) anunció el jueves que cuatro personas han sido arrestadas en relación con los ataques cibernéticos dirigidos a los principales minoristas Marks & Spencer, Co-op y Harrods.
Los individuos arrestados incluyen dos hombres de 19 abriles, un tercio de 17 abriles y una mujer de 20 abriles. Fueron detenidos en West Midlands y Londres bajo sospecha de delitos de la Ley de uso indebido informático, chantaje, lavado de moneda y participar en las actividades de un peña de delitos organizados.
Los cuatro sospechosos fueron arrestados de sus hogares y sus dispositivos electrónicos han sido incautados para un investigación forense adicional. Sus nombres no fueron revelados.
“Desde que se llevaron a límite estos ataques, los investigadores especializados de delitos cibernéticos de la NCA han estado trabajando en PACE y la investigación sigue siendo una de las prioridades más altas de la agencia”, dijo en un comunicado el director adjunto Paul Foster, dirigente de la Mecanismo Franquista de Crimen Cibernético de la NCA.
“Los denuedo de hoy son un paso significativo en esa investigación, pero nuestro trabajo continúa, anejo con socios en el Reino Unido y en el extranjero, para asegurar que los responsables sean identificados y llevados frente a la ecuanimidad”.
Según el Cyber Monitoring Center (CMC), los ataques cibernéticos de abril de 2025 dirigidos a Marks & Spencer y Co-op se han clasificado como un “evento cibernético único” con un impacto financiero de entre £ 270 millones ($ 363 millones) y £ 440 millones ($ 592 millones).
La NCA no nombró al “peña de delitos organizados” del que forman parte de los individuos, pero se cree que algunos de estos ataques han sido perpetrados por un equipo descentralizado de delitos cibernéticos llamados Spider Sptered, que es evidente por sus estrategas de ingeniería social avanzadas para infringir organizaciones y desplegar ransomware.
En una audiencia del Comité de Controles de Seguridad Económica, Armas y Exportaciones de Negocios y Comercio en el Parlamento del Reino Unido el 8 de julio, Marks & Spencer dijo que el ataque a sus sistemas estaba relacionado con el ransomware y que fue llevado a límite por el Género de Ransomware de Dragonforce, trabajando anejo con otros actores “flojados”.
“Si acertadamente el ransomware es una amenaza siempre presente, la araña dispersa representa un adversario persistente y capaz cuyas operaciones han sido históricamente efectivas incluso contra organizaciones con programas de seguridad maduros”, dijo Grayson North, consejero de seguridad senior de Guidepoint Security, a The Hacker News.
“El éxito de la araña dispersa no es exactamente el resultado de ninguna táctica nueva o novedosa, sino su experiencia en ingeniería social y disposición a ser extremadamente persistente al intentar obtener llegada auténtico a sus objetivos”.
La mayoría de las personas asociadas con el peña impulsado financieramente son hablantes de inglés jóvenes y nativos, lo que les da una delantera cuando intentan triunfar confianza con sus objetivos haciendo llamadas falsas para ayudar a los escritorios que se hacen sobrevenir por empleados.
La araña dispersa es parte del COM, un colectivo suelto más noble responsable de una amplia abanico de delitos, que incluyen ingeniería social, phishing, intercambio de sim, molestia, sextortion, hinchazón, secuestro y crimen.
“La araña dispersa demuestra una táctica de orientación calculada y oportunista, que viaje entre industrias y geografías basadas en la visibilidad, el potencial de suscripción y el calor operante”, señaló Halcyon.
Mandiant, propiedad de Google, dijo que la araña dispersa tiene el costumbre de centrarse en un solo sector a la vez, mientras mantiene consistentes sus tácticas, técnicas y procedimientos (TTP) consistentes. Esto incluye establecer dominios de phishing que imiten estrechamente los portales de inicio de sesión corporativos legítimos y están diseñados para engañar a los empleados para que revelen sus credenciales.
“Esto significa que las organizaciones pueden tomar medidas proactivas como capacitar a su personal de la mesa de ayuda para hacer cumplir los sólidos procesos de comprobación de identidad y desplegar MFA resistente a phishing para defenderse de estas intrusiones”, dijo Charles Carmakal, CTO, consultoría mandante en Google Cloud.
Carmakal además calificó los denuedo de los presuntos miembros de la araña dispersa una “trofeo significativa” en la lucha contra el sindicato de delitos electrónicos, y agregó que la argumento ilustra la importancia de la colaboración internacional para chocar tales amenazas.
“Sus tácticas agresivas de ingeniería social y su implacable búsqueda del llegada han demostrado ser particularmente desafiantes para muchos defensores, y han resultado en daños considerables a las organizaciones en el Reino Unido y los Estados Unidos”, agregó Carmakal. “Los denuedo anteriores han impactado sus operaciones, causando una calma significativa en la actividad. Esta es una ventana crítica para que las organizaciones fortalezcan sus defensas contra este colectivo”.
Poner al día
El periodista independiente de ciberseguridad Brian Krebs informó que los jóvenes de 19 abriles arrestados incluyen a Owen David Flowers (además conocido como BO764, Holy y Fascista) y Thalha Jubair (además conocido como Earth2Star y cirujano). Igualmente se alega que Jubair fue un miembro central del Género de delitos cibernéticos de Lapsus $, otro disparo de la Com, y actuó como el administrador de Doxbin, un sitio de pastebin utilizado para Dox People of Interest, “hasta hace poco”.
“Casi una docena de miembros en total de Spider Spider han sido arrestados en los últimos 18 meses hasta el momento, y ahora debería estar claro que la policía está caliente posteriormente de los involucrados en estas comunidades que apoyan estos crímenes serios y a gran escalera”, dijo Zach Edwards, investigador de amenazas en Silent Push, a The Hacker News.
“Parece que el liderazgo de Spider disperso ha estado arrojando a sus jóvenes miembros al proverbial sillar de corte al hacer que hagan llamadas de phishing de voz a las líneas de atención al cliente, lo que expone la huella digital de su voz para que se rastreen implacablemente por los investigadores. Los jóvenes están haciendo estas llamadas de phishing antiguamente de que cumplan 18 abriles, pensando que tal vez son parte de un esquema de Get Rich-Rich-Rich-Cicke, cuando está en existencia es un clausura para un trato a un trato en el plan.
“Es impactante que la araña dispersa se haya alejado de la infraestructura en serie que permitió a sus miembros mantenerse más ocultos y protegidos a sus esfuerzos actuales, que dependen en gran medida de la comunicación de voz y, por lo tanto, exponen constantemente a los miembros a investigaciones rápidas y acusaciones extremadamente probables”.
(La historia se actualizó posteriormente de la publicación para incluir ideas adicionales).
