USA:s cybersäkerhetsmyndighet CISA har publicerat en uppdaterad varning om Scattered Spider-ransomwaregruppen och varnar för nyupptäckta taktiker och ännu mer sofistikerade attacker. Gruppen riktar sig nu mot externa IT-leverantörer genom att utge sig för att vara anställda – ett steg bortom deras tidigare metoder.
Enligt juliuppdateringen är detta det tredje meddelandet om Scattered Spider sedan november 2023 och speglar gruppens skifte mot bredare och mer osynliga sociala manipulationstekniker. Deras senaste offer inkluderar stora detaljhandelskedjor, teknikföretag och till och med flygbolag.
Från falsk IT-personal till falska anställda
Scattered Spider, även känd som UNC3944, Octo Tempest och Storm-0875, är ökänd för sin sociala ingenjörskonst. Tidigare låtsades medlemmar vara IT-supportpersonal för att komma åt inloggningsuppgifter. Nu utger de sig för att vara faktiska anställda för att lura externa IT-leverantörer.
De nya målen inkluderar bland annat Snowflake-molnkonton, Slack, Microsoft Teams och Exchange. Genom dessa får de tillgång till värdefull information och kan genomföra avancerade spear-phishingattacker.
CISA rapporterar att Scattered Spider även infiltrerar interna möten med hjälp av falska anställdprofiler och sociala mediekonton. Det gör det möjligt för dem att observera säkerhetsreaktioner i realtid – och snabbt anpassa sina metoder.
Utvecklad taktik och ny skadlig kod
Den senaste varningen beskriver flera metoder för att kringgå multifaktorautentisering (MFA), bland annat:
- Push bombing (MFA-trötthet): Att översvämma användare med autentiseringsförfrågningar tills de godkänner.
- SIM-kapning: Att kapa offrets telefonnummer för att fånga upp engångskoder.
- Fjärråtkomstverktyg: Att lura användare att installera programvara för fjärrstyrning och på så sätt få full tillgång till systemet.
Scattered Spider har även börjat använda nya ransomware-varianter som DragonForce, som kombinerar datastöld med kryptering – en dubbel utpressningsmetod. Väl inne i systemen kör de tusentals datafrågor och exfiltrerar känslig information på bara några minuter.
Stora attacker med miljardförluster
Gruppen ligger bakom flera uppmärksammade intrång. Under 2025 rapporterades attacker mot brittiska återförsäljare som Marks & Spencer, Harrods och Co-op – ofta genom att först angripa deras IT-leverantör Tata Consultancy Services.
De samarbetade också med den numera nedlagda gruppen ALPHV/BlackCat i attackerna mot MGM Resorts och Caesars Palace 2023.
Nya offer som Clorox och Hawaiian Airlines har uppskattats ha lidit förluster på upp till 400 miljoner dollar vardera. Gruppen fokuserar huvudsakligen på engelskspråkiga mål med högt värde, men expanderar nu även till Asien.
Gripanden stoppar inte gruppen
Flera unga medlemmar – mellan 17 och 22 år – har gripits i Storbritannien och Spanien under året. Men enligt säkerhetsföretaget Mandiant är gruppen fortfarande aktiv och farlig, och har nu börjat rikta in sig på amerikansk transportinfrastruktur.
Slutsats
Scattered Spider utvecklas ständigt – med nya angreppssätt, förfinad social ingenjörskonst och ny skadlig kod. Trots gripanden utgör gruppen ett allvarligt hot mot globala verksamheter. CISA uppmanar företag att införa phishing-resistent MFA, övervaka tredjepartsåtkomst och lagra säkerhetskopior offline.
0 svar till ”Scattered Spider-ligan utvecklar nya attackmetoder”