US-Cybersicherheitsbehörden warnen vor Scattered Spider
Die US-Cybersicherheits- und Nachrichtendienste haben gemeinsam eine Nachricht veröffentlicht, in der es um eine Gruppe von Online-Kriminellen namens Scattered Spider geht. Diese Gruppe ist dafür bekannt, ausgeklügelte Tricks beim Phishing zu verwenden, um in verschiedene Ziele einzudringen.
Laut der US-Behörden nutzen die Bedrohungsakteure der Gruppe Scattered Spider typischerweise Datendiebstahl als Mittel zur Erpressung ihrer Opfer. Dabei wenden sie verschiedene Social-Engineering-Techniken an. Kürzlich haben sie demnach zusätzlich zu ihren üblichen Methoden auch des öfteren die BlackCat/ALPHV-Ransomware eingesetzt..
Der Bedrohungsakteur hat viele Namen, wie Muddled Libra, Octo Tempest, 0ktapus, Scatter Swine, Star Fraud und UNC3944. Letzten Monat hat Microsoft ausführlich über diese Gruppe berichtet und sie als „eine der gefährlichsten finanzkriminellen Gruppen überhaupt“ bezeichnet. Scattered Spider gilt als Experte für Social Engineering und ist dafür bekannt, ausgefeilte Phishing-, Prompt-Bombing- und SIM-Swapping-Angriffe einzusetzen, um Anmeldedaten zu erlangen, Remote-Access-Tools zu installieren und die Multi-Faktor-Authentifizierung (MFA) zu umgehen.
Scattered Spider soll wie LAPSUS$ Teil eines größeren Cybercrime-Ökosystems sein, das als Generation Z bekannt ist, sich selbst aber Com (alternativ buchstabiert als Comm) nennt. In jüngster Zeit soll die Gruppe auch zu gewalttätigen Aktivitäten und Swatting-Angriffen übergegangen sein. Bei Swatting-Angriffen werden falsche Alarme mit dem Ziel ausgelöst, ein großes Polizeiaufgebot wie in den USA beispielsweise die SWAT-Teams (Special Weapons and Tactics) zu einem bestimmten Ort zu schicken. Diese falschen Alarme werden oft gestartet, indem jemand eine Fake-Notrufmeldung über eine Bedrohung oder ein schwerwiegendes Verbrechen an die örtliche Polizei oder Notrufzentrale meldet.
Einem kürzlichen Bericht der Nachrichtenagentur Reuters zufolge sind dem US Federal Bureau of Investigation (FBI) die Identitäten von mindestens einem Dutzend Mitgliedern der Cybercrime-Bande bekannt. Einer der bemerkenswerten Tricks in ihrem Arsenal besteht darin, sich per Telefon oder SMS sehr überzeugend als IT- und Helpdesk-Mitarbeiter ausgeben, um gezielt Mitarbeiter anzusprechen. Sie nutzen diese Masche, um über die Gutgläubigkeit der ausgesuchten Mitarbeiter Zugriff auf Netzwerke mit erweiterten Berechtigungen zu erlangen.
Nach erfolgreichem Erstzugang werden legitime Fernzugriffs-Tunneling-Tools wie Fleetdeck.io, Ngrok und Pulseway sowie Fernzugriffs-Trojaner und Stealer wie AveMaria (alias Warzone RAT), Raccoon Stealer und Vidar Stealer eingesetzt. Darüber hinaus nutzt die englischsprachige Erpresser-Crew „living-off-the-land“-Techniken (LotL), um die Erkennung zu umgehen und in kompromittierten Netzwerken zu navigieren, mit dem ultimativen Ziel, sensible Informationen im Austausch gegen eine Zahlung zu stehlen.
Um mögliche Verteidigungsansätze ihrer Opfer schon vorab zu entkräften, gehen die Kriminellen sehr unverfroren vor. „Die Bedrohungsakteure nehmen häufig sogar an Telefonkonferenzen teil, um herauszufinden, wie die Sicherheitsteams sie jagen, und entwickeln proaktiv neue Angriffsmöglichkeiten, um auf die Abwehrmaßnahmen der Opfer zu reagieren“, so die Behörden.
Seit Mitte 2023 fungiert Scattered Spider auch als Partner der Ransomware-Bande BlackCat, die ihren Zugang zu Opfern für erpresserische Ransomware und Datendiebstahl nutzt.
Die US-Regierung fordert Unternehmen auf, phishing-resistente MFA-Methoden zu implementieren, einen Wiederherstellungsplan durchzusetzen, Offline-Backups zu erstellen und Anwendungskontrollen einzuführen, um die Ausführung nicht autorisierter Software auf Endgeräten zu verhindern.