Eine Gruppe junger Cyberkrimineller stellt derzeit die größte Bedrohung durch Cyberangriffe dar
Leere Regale in Supermärkten und am Boden stehende Flugzeuge deuten in der Regel auf eine Krise hin – sei es ein extremes Wetterereignis , eine öffentliche Gesundheitskrise oder ein geopolitischer Notstand . Doch die chaotischen Szenen der letzten Wochen in Großbritannien, den USA und Kanada wurden stattdessen durch finanziell motivierte Cyberangriffe verursacht – offenbar verübt von einer Gruppe jugendlicher Autofahrer.
Eine berüchtigte Cyberkriminelle-Gruppe, oft Scattered Spider genannt, ist dafür bekannt, Social-Engineering-Techniken einzusetzen, um in Zielunternehmen einzudringen. Sie trickst IT-Helpdesk-Mitarbeiter aus, um ihnen Systemzugriff zu gewähren. Forschern zufolge erlangt die Gruppe offenbar Fachwissen über die in Unternehmen einer bestimmten Branche üblichen Backend-Systeme und nutzt dieses Wissen, um eine Gruppe von Zielen anzugreifen, bevor sie sich einem anderen Sektor zuwendet. Sobald die Gruppe ihre Opfer kompromittiert hat, setzt sie häufig Ransomware ein oder führt Datenerpressungsangriffe durch.
Angesichts des zunehmenden Drucks der Strafverfolgungsbehörden im vergangenen Jahr, der in der Anklage und Verhaftung von fünf mutmaßlich mit Scattered Spider in Verbindung stehenden Verdächtigen gipfelte, gehen Forscher davon aus, dass die Gruppe im Jahr 2024 weniger aktiv war und sich offenbar zurückhielt. Die zunehmenden Angriffe der Gruppe in den letzten Wochen haben jedoch gezeigt, dass Scattered Spider keineswegs besiegt, sondern erneut ermutigt ist.
„Scattered Spider verfügt über einige außergewöhnlich versierte Akteure im Bereich Social Engineering. Sie haben eine große Lücke in unseren Sicherheitssystemen entdeckt, die sie erfolgreich ausnutzen“, sagt John Hultquist, Chefanalyst der Threat Intelligence Group von Google. „Diese Gruppe führt schwere Angriffe auf unsere kritische Infrastruktur durch, und ich hoffe, dass wir die Gelegenheit nutzen, dieser akuten Bedrohung zu begegnen.“
Obwohl zahlreiche Vorfälle nicht öffentlich bekannt gegeben wurden, wird eine überwältigende Serie von Angriffen auf britische Supermarktketten, nordamerikanische Versicherer und internationale Fluggesellschaften in jüngster Zeit weitgehend mit Scattered Spider in Verbindung gebracht. Im Mai bestätigte die britische National Crime Agency, dass sie Scattered Spider im Zusammenhang mit den Angriffen auf britische Einzelhändler untersucht. Und das FBI gab am Freitag in einer Warnmeldung bekannt , dass es beobachtet habe, wie „die cyberkriminelle Gruppe Scattered Spider ihre Angriffe auf den Flugsektor ausweitet“. Die Warnung erfolgte, nachdem die nordamerikanischen Fluggesellschaften Westjet und Hawaii Airlines erklärt hatten, Opfer von Hackerangriffen durch Cyberkriminelle geworden zu sein. Am Mittwoch gab auch die australische Fluggesellschaft Qantas bekannt, Ziel eines Cyberangriffs gewesen zu sein, obwohl nicht sofort klar war, ob dieser Angriff Teil der Kampagne der Gruppe war.
„Sie verlangsamten sich, und wir sahen, wie sie sich im Laufe des Jahres 2024 für eine Weile auflösten“, sagt Adam Meyers, Senior Vice President für Abwehrmaßnahmen beim Sicherheitsunternehmen CrowdStrike. „Dann kehrten sie in den letzten Monaten mit voller Wucht zurück und trafen zunächst den Einzelhandel, dann Versicherungsunternehmen und zuletzt Fluggesellschaften.“
Scattered Spider trat gegen Ende 2023 erstmals als prominente Gruppe in Erscheinung, als ihre Mitglieder von SIM-Swapping-Angriffen zu verheerenden Ransomware-Angriffen auf Caesar's Entertainment und MGM Resorts übergingen. Die Wiederherstellung nach Letzteren kostete MGM rund 100 Millionen US-Dollar . Forscher betonen, dass das Kollektiv finanziell motiviert ist und sich hauptsächlich aus englischsprachigen Teenagern und jungen Männern zusammensetzt, die oft in den USA oder Großbritannien leben. Die Scattered Spider-Hacker gelten als Ableger von Com , einem amorphen Netzwerk aus potenziell Tausenden von Trollen und Kriminellen, von denen viele in Belästigung, Erpressung und Kindesausbeutung verwickelt sind.
Die Mitglieder von Scattered Spider haben sich zunehmend auf die Taktik geeinigt, gezielt Social Engineering einzusetzen, um in Unternehmensnetzwerke einzudringen. Angreifer geben sich beispielsweise als Mitarbeiter aus, der keinen Zugriff auf sein Firmen-E-Mail-Konto hat, und kontaktieren den IT-Helpdesk des Unternehmens, um Zugriff zu erhalten. Anschließend setzen sie die Anmeldedaten für die Multifaktor-Authentifizierung zurück. Forschern zufolge nutzt die Gruppe auch die Taktik, überzeugende Phishing-Websites zu erstellen, deren URLs oft den Namen der Zielorganisation sowie Wörter wie „Okta“, „VPN“ oder „Helpdesk“ enthalten . Sobald sie in die Netzwerke eingedrungen sind, setzen die Hacker verschiedene Arten von Ransomware ein oder stehlen Daten, die zur Erpressung von Unternehmen verwendet werden.
Meyers zufolge geht Crowdstrike davon aus, dass Scattered Spider aus etwa vier Kernmitgliedern besteht, die potenzielle Opfer gezielt angreifen und bei Bedarf Ressourcen aus dem gesamten Com-Ökosystem nutzen. Die genaue Struktur und Größe von Scattered Spider ist unklar, doch die Forscher sind sich einig, dass die Gruppe für ihre Angriffe auf eine Reihe von Drittanbieterdiensten zurückgreift.
„Abschreckung ist extrem schwierig, weil wir im Grunde auf einem Markt kämpfen, auf dem viele Akteure austauschbar sind“, sagt Hultquist von Google. „Scattered Spider hat beispielsweise mit mehreren Ransomware-Diensten zusammengearbeitet. Wenn also einer ausfällt, gibt es immer jemanden, der ihn ersetzt.“
Aiden Sinnott, leitender Bedrohungsforscher bei der Counter Threat Unit des Cybersicherheitsunternehmens Sophos, sagt, dass Scattered Spider und Com im weiteren Sinne durch Beziehungen und Communities auf Discord-Servern oder Telegram-Gruppen miteinander verbunden sind. „Es ist diese Art sich entwickelnder Gruppe, in die möglicherweise neue, jüngere Bedrohungsakteure einsteigen“, sagt Sinnott. „Man kann diesen natürlichen Eskalationsverlauf beobachten, während sie voneinander lernen, und sie legen großen Wert darauf, ihre Erfolge zu teilen.“
Einige Mitglieder von Scattered Spider zielen möglicherweise auf namhafte Unternehmen ab, während andere in weniger prominente Aktivitäten verwickelt sind. „Es gibt Gruppen oder Einzelpersonen, die sich hauptsächlich darauf konzentrieren, Coinbase-Konten zu hacken und Kryptowährungen und ähnliches zu stehlen“, sagt Sinnott. „Sie konzentrieren sich also nicht einmal auf diese großen Unternehmen.“
Hultquist drückt es so aus: „Die Aktivität ist äußerst widerstandsfähig, denn wir kämpfen nicht gegen einen einzelnen Akteur, sondern gegen einen Marktplatz.“
wired
