Det amerikanske cybersikkerhedsagentur CISA har udgivet en opdateret advarsel om ransomware-gruppen Scattered Spider. Advarslen fremhæver nye metoder og endnu mere avancerede angreb. Gruppen går nu målrettet efter eksterne IT-leverandører ved at udgive sig for at være virksomhedens egne ansatte – en markant udvikling i deres taktik.
Ifølge opdateringen fra juli er dette den tredje advarsel om Scattered Spider siden november 2023 og viser gruppens skift til mere diskrete og bredspektrede former for social engineering. Nylige ofre tæller store detailhandelskæder, teknologivirksomheder og flyselskaber.
Fra falsk IT-support til falske medarbejdere
Scattered Spider – også kendt som UNC3944, Octo Tempest og Storm-0875 – er berygtet for deres brug af social engineering. Tidligere udgav de sig for at være IT-support for at stjæle loginoplysninger. Nu udgiver de sig for at være reelle medarbejdere for at manipulere eksterne tjenesteudbydere.
Gruppens mål omfatter nu blandt andet Snowflake-konti, Slack, Microsoft Teams og Exchange. Denne adgang bruges til at indsamle efterretninger og sende skræddersyede phishing-angreb.
Ifølge CISA infiltrerer trusselsaktørerne også interne møder med falske medarbejderprofiler og konti på sociale medier, hvilket gør det muligt for dem at overvåge sikkerhedsreaktioner i realtid – og tilpasse deres angreb.
Avancerede metoder og ny malware
Den seneste advarsel beskriver flere måder, hvorpå Scattered Spider forsøger at omgå multifaktorautentificering (MFA), herunder:
- Push bombing (MFA-træthed): Brugere oversvømmes med anmodninger, indtil de klikker ”accepter”.
- SIM-swapping: Overførsel af ofrets telefonnummer til angriberen for at opfange engangskoder.
- Fjernadgangsværktøjer: Brugeren narres til at installere software, som giver fuld systemadgang.
Gruppen har desuden implementeret nye ransomware-varianter som DragonForce, der kombinerer datatyveri med kryptering for at opnå dobbelt afpresning. Når de har adgang, eksekverer de tusindvis af dataforespørgsler og eksfiltrerer følsomme oplysninger på få minutter.
Store mål og store tab
Scattered Spider har stået bag en række højprofilerede angreb. I 2025 blev store britiske detailkæder som Marks & Spencer, Harrods og Co-op ramt – ofte via deres IT-leverandør Tata Consultancy Services.
Gruppen arbejdede tidligere sammen med den nu opløste ransomware-gruppe ALPHV/BlackCat i angrebene på MGM Resorts og Caesars Palace i 2023.
Seneste ofre som Clorox og Hawaiian Airlines har lidt estimerede tab på op til 400 millioner dollars hver. Gruppen fokuserer på højværdimål i engelsktalende lande, men har nu også rettet blikket mod Asien.
Arrestationer stopper dem ikke
Flere unge medlemmer blev arresteret tidligere i år – fire i Storbritannien og én i Spanien, alle mellem 17 og 22 år. Men cybersikkerhedsfirmaet Mandiant advarer om, at gruppen stadig er aktiv og nu fokuserer på transportinfrastruktur i USA.
Konklusion
Scattered Spider forandrer sig konstant – med nye metoder, forbedret social engineering og avanceret malware. På trods af anholdelser udgør gruppen stadig en betydelig trussel. CISA opfordrer virksomheder til at implementere phishing-resistent MFA, overvåge tredjepartsadgang og opbevare backups offline.
0 svar til “Scattered Spider-gruppen udvikler nye angrebstaktikker”