Een groep jonge cybercriminelen vormt momenteel de 'meest urgente dreiging' voor cyberaanvallen

Lege schappen in de supermarkt en aan de grond staande vliegtuigen wijzen vaak op een crisis, of het nu gaat om extreme weersomstandigheden , een crisis in de volksgezondheid of een geopolitieke noodsituatie . Maar deze chaotische taferelen van de afgelopen weken in het Verenigd Koninkrijk, de Verenigde Staten en Canada werden in plaats daarvan veroorzaakt door financieel gemotiveerde cyberaanvallen – schijnbaar gepleegd door een collectief van joyridende tieners.

Een beruchte cybercriminele groep, vaak Scattered Spider genoemd, staat bekend om het gebruik van social engineeringtechnieken om doelwitbedrijven te infiltreren door IT-helpdeskmedewerkers te misleiden om toegang tot hun systeem te verlenen. Onderzoekers zeggen dat de groep expertise lijkt op te doen over de backendsystemen die doorgaans door bedrijven in een bepaalde sector worden gebruikt en deze kennis vervolgens gebruikt om een ​​cluster van doelwitten aan te vallen voordat ze zich naar een andere sector begeven. De groep gebruikt vaak ransomware of voert afpersingsaanvallen uit nadat ze hun slachtoffers hebben gecompromitteerd.

Te midden van de toenemende druk van de politie vorig jaar, die culmineerde in de aanklachten en arrestaties van vijf verdachten die naar verluidt banden hadden met Scattered Spider, zeggen onderzoekers dat de groep in 2024 minder actief was en zich leek te verstoppen. De toenemende aanvallen van de groep in de afgelopen weken hebben echter aangetoond dat Scattered Spider verre van verslagen is, maar juist weer meer zelfvertrouwen heeft gekregen.

"Scattered Spider heeft een aantal uniek bekwame spelers op het gebied van social engineering. Ze hebben een groot gat in onze beveiligingssystemen ontdekt en daar maken ze succesvol gebruik van", aldus John Hultquist, hoofdanalist bij de Threat Intelligence Group van Google. "Deze groep voert ernstige aanvallen uit op onze kritieke infrastructuur en ik hoop dat we de kans niet laten liggen om de meest acute dreiging aan te pakken."

Hoewel een aantal incidenten niet publiekelijk zijn toegeschreven, is een overweldigende reeks recente aanvallen op Britse supermarktketens, Noord-Amerikaanse verzekeraars en internationale luchtvaartmaatschappijen in grote lijnen in verband gebracht met Scattered Spider. In mei bevestigde het Britse National Crime Agency dat het Scattered Spider in het oog hield in verband met de aanvallen op Britse retailers. En de FBI waarschuwde vrijdag in een waarschuwing dat het had waargenomen dat "de cybercriminele groep Scattered Spider zijn targeting uitbreidde naar de luchtvaartsector". De waarschuwing kwam nadat de Noord-Amerikaanse luchtvaartmaatschappijen Westjet en Hawaii Airlines zeiden slachtoffer te zijn geworden van cyberhacks. Woensdag meldde ook de Australische luchtvaartmaatschappij Qantas dat het was getroffen door een cyberaanval, hoewel het niet meteen duidelijk was of deze aanval deel uitmaakte van de campagne van de groep.

"Ze vertraagden en we zagen ze in 2024 een tijdje verdwijnen", zegt Adam Meyers, senior vice president Counter-Adversary Operations bij beveiligingsbedrijf CrowdStrike. "Daarna zijn ze de afgelopen maanden weer flink gegroeid, eerst in de detailhandel, vervolgens in verzekeringsmaatschappijen en recentelijk in luchtvaartmaatschappijen."

Scattered Spider dook eind 2023 voor het eerst op als een opvallende groep, toen de leden overstapten van SIM-swapping-aanvallen naar het uitvoeren van verlammende ransomware-aanvallen op Caesar's Entertainment en MGM Resorts . De laatste kostte MGM ongeveer $ 100 miljoen om te herstellen . Onderzoekers benadrukken dat het collectief financieel gemotiveerd is en bestaat uit voornamelijk Engelstalige tieners en jonge mannen die vaak in de VS of het VK wonen. De Scattered Spider-hackers worden beschouwd als een uitloper van Com , een amorf netwerk van mogelijk duizenden trollen en criminelen, van wie velen zich bezighouden met intimidatie, afpersing en kinderuitbuiting.

Leden van Scattered Spider hebben zich steeds meer verenigd rond een tactiek om met behulp van gerichte social engineering voet aan de grond te krijgen in bedrijfsnetwerken. Aanvallers kunnen zich voordoen als een medewerker die geen toegang meer heeft tot zijn of haar zakelijke e-mailaccount en contact opnemen met de IT-helpdesk van het bedrijf om toegang te krijgen, waarna ze de multifactorauthenticatiegegevens opnieuw instellen. Onderzoekers zeggen dat de groep ook een tactiek heeft gebruikt om overtuigende phishingwebsites te creëren, waarvan de URL's vaak de naam van de beoogde organisatie bevatten , samen met woorden als "okta", "vpn" of "helpdesk". Eenmaal binnen de netwerken, zetten de hackers verschillende soorten ransomware in of stelen ze gegevens die worden gebruikt om bedrijven af ​​te persen.

Meyers zegt dat Crowdstrike gelooft dat Scattered Spider grofweg vier kernleden heeft, die de targeting van potentiële slachtoffers stimuleren en indien nodig middelen uit het bredere com-ecosysteem "benutten". De exacte structuur en omvang van Scattered Spider zijn onduidelijk, maar onderzoekers zijn het erover eens dat de groep afhankelijk is van een scala aan externe diensten om haar aanvallen uit te voeren.

"Afschrikking is extreem moeilijk, omdat we in feite vechten tegen een markt waar veel spelers vervangbaar zijn", zegt Hultquist van Google. "Scattered Spider heeft bijvoorbeeld met meerdere ransomwarediensten samengewerkt, dus als er eentje uitvalt, is er altijd wel iemand die ze kan vervangen."

Aiden Sinnott, senior dreigingsonderzoeker bij de Counter Threat Unit van cybersecuritybedrijf Sophos, zegt dat Scattered Spider en de Com in bredere zin met elkaar verbonden zijn via relaties en communities op Discord-servers of Telegram-groepen. "Het is een soort evoluerende groep waar misschien nieuwe, jongere dreigingsactoren bijkomen", zegt Sinnott. "Je ziet deze natuurlijke escalatie naarmate ze vaardigheden van elkaar leren, en ze delen hun successen ook graag."

Sommige leden van Scattered Spider richten zich mogelijk op grote bedrijven, terwijl anderen betrokken zijn bij minder opvallende activiteiten. "Er zijn groepen, of individuen, die zich echt richten op het hacken van Coinbase-accounts en het stelen van crypto en dat soort dingen", zegt Sinnott. "Dus ze richten zich niet eens op die grote bedrijven."

Zoals Hultquist het stelt: "de activiteit is extreem veerkrachtig, omdat we niet tegen één enkele speler vechten, maar tegen een markt."