Cyberbande zahlt bis zu 1.000 Dollar für Stimmen bei Vishing-Angriffen : Die Gruppe Scattered LAPSUS$ Hunters setzt gezielt Social Engineering ein und rekrutiert neue Stimmen für Angriffe auf IT-Helpdesks.
Social Engineering entwickelt sich immer stärker zur bevorzugten Eintrittsmethode moderner Cyberkrimineller. Eine neue Kampagne zeigt, wie professionell diese Angriffe inzwischen organisiert sind. Die Gruppe Scattered LAPSUS$ Hunters bietet offenbar hohe Prämien für Personen, die Helpdesk-Mitarbeiter telefonisch täuschen.
Cyberkriminalität wird zunehmend arbeitsteilig organisiert. Statt ausschließlich auf technische Schwachstellen zu setzen, investieren Angreifer immer stärker in menschliche Manipulation. Eine aktuelle Analyse des Threat-Intelligence-Unternehmens Dataminr zeigt, wie professionell diese Strategie inzwischen umgesetzt wird. Demnach bietet die Gruppe Scattered LAPSUS$ Hunters – kurz SLH – finanzielle Anreize, um gezielt Stimmen für Voice-Phishing-Angriffe zu rekrutieren.
Nach Angaben der Analysten zahlt die Gruppe zwischen 500 und 1.000 US-Dollar pro Anruf im Voraus. Ziel ist es, IT-Helpdesks von Unternehmen zu kontaktieren und sich dort als Mitarbeiter auszugeben. Die Angreifer erhalten dafür vorbereitete Gesprächsskripte und genaue Anweisungen, wie sie Authentifizierungsprozesse umgehen können.
„SLH diversifiziert seinen Social-Engineering-Pool, indem es speziell Frauen für Vishing-Angriffe rekrutiert, um die Erfolgsquote von Helpdesk-Identitätsdiebstahl zu erhöhen“, heißt es in dem Bericht. Die Kampagne zeigt, wie gezielt Cyberkriminelle inzwischen psychologische Faktoren in ihre Angriffsmethoden einbauen.
Zusammenschluss bekannter Cybercrime-Gruppen
Hinter SLH steckt eine Kooperation mehrerer bekannter Cybercrime-Akteure. Dazu gehören unter anderem LAPSUS$, Scattered Spider und ShinyHunters. Die Gruppe gilt als besonders geschickt im Umgang mit Identitätsdiebstahl und Social Engineering. Ihr Fokus liegt darauf, Sicherheitsmechanismen wie Multi-Faktor-Authentifizierung zu umgehen.
Typische Methoden sind sogenannte MFA-Prompt-Bombing-Angriffe oder SIM-Swapping. Gleichzeitig konzentrieren sich die Täter verstärkt auf IT-Helpdesks und Callcenter. Dort versuchen sie, Mitarbeiter dazu zu bringen, Passwörter zurückzusetzen oder Remote-Management-Werkzeuge zu installieren. Auf diese Weise erhalten sie direkten Zugriff auf Unternehmenssysteme.
Vom Helpdesk in die Unternehmensnetzwerke
Sobald der erste Zugang gelungen ist, beginnen Angreifer häufig mit der systematischen Ausweitung ihrer Rechte. Beobachtungen zeigen, dass sich Akteure von Scattered Spider anschließend lateral in virtualisierte Umgebungen vorarbeiten, zusätzliche Berechtigungen erlangen und sensible Unternehmensdaten abziehen.
In einigen Fällen mündeten solche Einbrüche später in Ransomware-Angriffe. Gleichzeitig nutzen die Täter häufig legitime Dienste und Infrastruktur, um möglichst unauffällig zu bleiben. Dazu zählen private Proxy-Netzwerke sowie Tunneling-Werkzeuge wie Ngrok, Teleport oder Pinggy. Auch Filesharing-Dienste wie file.io, gofile.io, mega.nz oder transfer.sh kommen zum Einsatz, um Daten zu übertragen.
Psychologie statt Exploit
Analysten von Unit 42 bei Palo Alto Networks, die Scattered Spider unter dem Pseudonym Muddled Libra verfolgen, beschreiben die Gruppe als besonders raffiniert im Umgang mit menschlichen Schwächen. Der Bedrohungsakteur sei „äußerst geschickt darin, die menschliche Psychologie auszunutzen“, indem er sich glaubwürdig als Mitarbeiter ausgibt und Passwort- oder MFA-Resets anstößt.
In einem untersuchten Angriff verschafften sich Täter über einen Helpdesk-Anruf privilegierte Zugangsdaten. Anschließend erstellten sie eine virtuelle Maschine, nutzten diese zur Analyse der Umgebung und versuchten, Unternehmensdaten zu exfiltrieren – darunter Outlook Postfach-Dateien sowie Informationen aus einer Snowflake Cloud-Datenbank.
„Dieser Bedrohungsakteur konzentriert sich zwar auf Identitätsdiebstahl und Social Engineering, nutzt jedoch legitime Tools und vorhandene Infrastruktur, um sich unauffällig zu verhalten“, so die Analyse. „Er agiert still und beharrlich.“
Das Cybersicherheitsunternehmen weist außerdem darauf hin, dass Scattered Spider seit Jahren gezielt Microsoft-Azure-Umgebungen ins Visier nimmt. Dabei nutzt die Gruppe Social-Engineering-Angriffe unter anderem die Graph-Programmierschnittstelle, um Zugriff auf Cloud-Ressourcen zu erhalten. Zusätzlich kommen Cloud-Analysewerkzeuge wie ADRecon zum Einsatz, mit denen Active-Directory-Strukturen systematisch ausspioniert werden.
Unternehmen müssen ihre Verteidigung anpassen
Die Entwicklung zeigt recht klar die Entwicklung von Cyberangriffen. Technische Schutzmaßnahmen allein reichen häufig nicht mehr aus. Besonders Support-Teams geraten zunehmend ins Visier der Angreifer.
„Diese Rekrutierungskampagne stellt eine kalkulierte Weiterentwicklung der Taktik von SLH dar“, erklärt Dataminr. Durch neue Stimmen und angepasste Strategien versucht die Gruppe, etablierte Sicherheitsmechanismen zu umgehen und ihre Erfolgsquote weiter zu erhöhen.
Sicherheitsexperten empfehlen daher, Helpdesk-Mitarbeiter gezielt zu schulen und Identitätsprüfungen deutlich zu verschärfen. Auch Multi-Faktor-Authentifizierung sollte stärker abgesichert werden, etwa durch den Verzicht auf SMS-basierte Verfahren. Gleichzeitig lohnt es sich, Protokolle nach verdächtigen Aktivitäten zu durchsuchen – etwa nach neuen Benutzerkonten oder plötzlichen Administratorrechten nach Support-Anrufen.