Die US-Behörde für Cybersicherheit und Infrastrukturschutz (CISA) hat eine aktualisierte Warnung zur Ransomware-Gruppe Scattered Spider veröffentlicht. Demnach setzen die Angreifer nun auf neue, noch ausgefeiltere Methoden und haben damit begonnen, gezielt externe IT-Dienstleister zu attackieren – indem sie sich als Mitarbeitende ausgeben.
Laut dem Update vom Juli ist dies bereits die dritte CISA-Warnung zu Scattered Spider seit November 2023. Sie verdeutlicht, wie stark sich die Gruppe von ihren ursprünglichen Methoden hin zu komplexeren Formen der Social Engineering entwickelt hat. Zu den jüngsten Opfern gehören Einzelhandelsriesen, Technologieunternehmen und Fluggesellschaften.
Von gefälschten IT-Supportern zu falschen Angestellten
Scattered Spider – auch bekannt als UNC3944, Octo Tempest oder Storm-0875 – ist berüchtigt für seine ausgeklügelten Täuschungsversuche. Während sich die Angreifer früher als IT-Support ausgaben, um Zugangsdaten zu stehlen, geben sie sich nun direkt als Mitarbeitende aus, um Zugriff auf Systeme von Drittanbietern zu erhalten.
Im Visier der Gruppe stehen unter anderem Snowflake-Cloudkonten, Slack, Microsoft Teams und Exchange. Die erlangten Zugänge nutzen sie zur Informationsgewinnung und zum Start maßgeschneiderter Phishing-Angriffe.
CISA berichtet zudem, dass die Angreifer sich mit gefälschten Mitarbeitenden-Profilen in interne Meetings einschleusen. So können sie Sicherheitsreaktionen in Echtzeit beobachten – und ihre Angriffe entsprechend anpassen.
Neue Methoden und Malware
Die aktuelle Warnung beschreibt mehrere Techniken zur Umgehung von Multi-Faktor-Authentifizierung (MFA), darunter:
- Push-Bombing (MFA-Fatigue): Nutzer:innen werden mit Authentifizierungsanfragen überflutet, bis sie eine versehentlich akzeptieren.
- SIM-Swapping: Übernahme der Telefonnummer des Opfers zur Abfrage von Einmalcodes.
- Fernzugriffstools: Opfer werden dazu gebracht, Software zu installieren, die vollständige Kontrolle über deren Gerät ermöglicht.
Die Gruppe setzt außerdem neue Ransomware-Varianten wie DragonForce ein. Dabei kombinieren sie Datenklau mit Dateiverschlüsselung für doppelte Erpressung. Einmal eingedrungen, senden sie Tausende von Datenbankabfragen und exfiltrieren sensible Informationen in Minuten.
Prominente Angriffe mit enormen Schäden
Scattered Spider wird mit einer Reihe spektakulärer Vorfälle in Verbindung gebracht. Im Jahr 2025 traf es unter anderem britische Unternehmen wie Marks & Spencer, Harrods und Co-op – oft über den IT-Dienstleister Tata Consultancy Services.
Bereits 2023 kooperierte die Gruppe mit dem inzwischen aufgelösten ALPHV/BlackCat-Kollektiv bei Angriffen auf MGM Resorts und Caesars Palace.
Neuere Opfer wie Clorox und Hawaiian Airlines berichten von Schäden in Höhe von jeweils rund 400 Millionen US-Dollar. Die Gruppe fokussiert sich auf hochwertige, englischsprachige Ziele – weitet ihre Aktivitäten aber inzwischen auch auf Asien aus.
Festnahmen stoppen die Gruppe nicht
Zwar wurden in diesem Jahr mehrere junge Mitglieder festgenommen – vier in Großbritannien und eines in Spanien, alle zwischen 17 und 22 Jahre alt – doch laut dem Sicherheitsunternehmen Mandiant bleibt Scattered Spider hochaktiv. Der Fokus verlagert sich aktuell auf den US-Transportsektor.
Fazit
Scattered Spider entwickelt sich stetig weiter – mit neuen Taktiken, raffinierter Social Engineering und gefährlicher Malware. Trotz Festnahmen bleibt die Bedrohung für Unternehmen weltweit bestehen. CISA empfiehlt dringend, auf phishingsichere MFA zu setzen, Drittanbieter-Zugänge zu überwachen und Backups offline zu speichern.
0 Kommentare zu „Ransomware-Gruppe Scattered Spider entwickelt neue Angriffstaktiken“