Scattered Spider nutzt Social Engineering statt Brute Force um sich Zugang zu verschaffen.
VZ_Art – shutterstock.com
Die Cybersecurity-Anbieter Mandiant und Palo Alto Networks sowie das FBI warnen vor zunehmenden Cyberangriffen der Hackergruppe „Scattered Spider“ auf den Luftfahrtsektor. Einen Name machte sich die Bande bereits unter anderem durch Angriffe auf die großen britischen Einzelhändler Marks&Spencer, Harrods sowie Co-op.
Vertrauen in Helpdesk missbraucht
Das FBI wies darauf hin, dass die Angreifer nicht nur technische Schwachstellen ausnutzen, sondern vor allem menschliche Arbeitsabläufe attackieren. Die Abhängigkeit von Helpdesk-Mitarbeitern bei der Identitätsprüfung stelle dabei eine kritische Schwachstelle dar, so die Behörde. Dies liege daran, dass Menschen durch überzeugende Geschichten und gezielte Täuschungen manipuliert werden können. So nutze die Gruppe gezielt aufgebautes Vertrauen aus, um technische Schutzmaßnahmen zu umgehen.
Unternehmen sollten ihre Identitätsprüfungsprozesse daher dringend überarbeiten, insbesondere bei MFA- und Helpdesk-Anfragen, und ihre Mitarbeitenden gezielt schulen, um menschliche Fehler besser abzufangen, so das FBI.
Der Helpdesk als Hintertüre
Besonders im Visier der Kriminellen stehen dabei hochrangige Führungskräfte wie Chief Financial Officers (CFOs), da deren Konten oft über umfangreiche Zugriffsrechte verfügen und deren IT-Anfragen mit hoher Dringlichkeit behandelt werden. So gelang es den Kriminellen in der Vergangenheit bereits, MFA-Geräte zurückzusetzen und sensible Mitarbeiterinformationen zu verwenden, um Identitätsprüfungen zu umgehen.
Auch Charles Carmakal von Mandiant empfiehlt, sofort Maßnahmen zu ergreifen. Konkret sollen Unternehmen die Identitätsüberprüfungsprozesse ihrer Helpdesks verschärfen, „bevor sie neue Telefonnummern zu den Konten von Mitarbeitern/Auftragnehmern hinzufügen“. Diese könnten von den Bedrohungsakteuren verwendet werden, um Self-Service-Passwörter zurückzusetzen. Erhöhte Wachsamkeit sei zudem angeraten, wenn Helpdesk-Mitarbeiter Passwörter zurücksetzen, Geräte zu MFA-Lösungen hinzufügen oder Mitarbeiterinformationen (etwa Mitarbeiter-IDs) bereitstellen, da diese im Anschluss für Social-Engineering-Angriffe verwendet werden könnten.
Experten bestätigen Angriffe auf Fluggesellschaften
Obwohl keine konkreten Opfer von den Experten genannt wurden, bestätigte Carmakal, dass sein Unternehmen von mehreren Vorfällen im Flug- und Transportsektor Kenntnis habe, die den Aktivitäten von Scattered Spider ähnelten.
Wie das Nachrichtenportal Reuters berichtetet, wurden die Fluggesellschaften Hawaiian Airlines und WestJet Ende Juni Opfer von Cybervorfällen. Beide Unternehmen äußerte sich nicht dazu, ob es sich bei den Angreifern um Scattered Spider gehandelt haben könnte.
Gezielte Angriffe auf privilegierte Konten
Scattered Spider war ursprünglich für ihre SIM-Swapping-Angriffe bekannt, mittlerweile konzentriert sie sich jedoch auf
- Social Engineering,
- Helpdesk-Phishing und
- Insider-Access.
Ziel ist es dabei, sich Zugang zu sensiblen IT-Systemen von Fluggesellschaften und deren Dienstleistern zu verschaffen, ohne Brute-Force-Attacken nutzen zu müssen.
Die Angriffe der Bande zeichnen sich vielmehr dadurch aus, dass die Hacker sich als Mitarbeitende oder Auftragnehmende ausgeben und IT-Helpdesks täuschen. Hierbei sind sie gut vorbereitet und versuchen so, Multi-Faktor-Authentifizierungen (MFA) zu umgehen.
Innerhalb weniger Stunden zum Erfolg
Die Kriminellen sind seit mindestens 2021 aktiv und Teil eines losen Kollektivs namens „The Com“, das auch andere bekannte Hackergruppen wie LAPSUS$ umfasst. Die Bande kombiniert Social Engineering mit technischer Expertise, um unbefugt in Unternehmensnetze einzudringen.
Dort können die Verbrecher innerhalb weniger Stunden Daten stehlen, Wiederherstellungsmechanismen deaktivieren und Ransomware-Angriffe starten. Dabei nutzen sie legitime Tools wie ngrok und greifen auch IT-Drittanbieter an, um sich breiteren Zugang zu verschaffen.