Scattered Spider spinnt ein lästiges Netz

Hinweis: Dieser Beitrag wurde ursprünglich auf SmarterMSP veröffentlicht.

Die Spinne in der Regenrinne hatte Böses nicht im Sinne – aber die Scattered Spider, die in Ihr E-Mail-Postfach gekrochen sein könnte, schon.

CISA schlägt Alarm wegen Scattered Spider und dem Chaos, das angerichtet werden kann.

Im CISA-Bulletin heißt es: „Scattered Spider ist eine Cyberkriminelle-Gruppe, die es auf große Unternehmen und deren beauftragte Helpdesks für Informationstechnologie (IT) abgesehen hat. Scattered-Spider-Bedrohungsakteure haben sich laut vertrauenswürdigen Dritten typischerweise an Datendiebstahl zur Erpressung beteiligt und sind bekanntermaßen auch dafür bekannt, BlackCat/ALPHV-Ransomware zusätzlich zu ihren üblichen TTPs zu nutzen.“

Experten sind sich einig, dass dies eine Bedrohung ist, die überwacht werden sollte, aber nicht für jedes Unternehmen relevant ist. „Sie scheinen sehr wählerisch zu sein, wen sie angreifen. Hersteller, Schulen und Regierungsbehörden scheinen zumindest bisher weitgehend verschont zu bleiben“, sagt Stan Spencer, ein Cybersicherheitsspezialist in Toledo, Ohio, der sich in der Vergangenheit mit Scattered Spider befasst hat.

Scattered Spider, oder UNC3944, ist eine hochentwickelte Cyberkriminalitätsgruppe, die es auf große Unternehmen abgesehen hat. „Sie scheinen besonders daran interessiert zu sein, die Telekommunikations-, Gastgewerbe-, Einzelhandels-, Medien- und Finanzdienstleistungsbranche zu treffen“, warnt Spencer.

Und was sie auszeichnet, sind ihre Social-Engineering-Fähigkeiten. Spencer fügt hinzu: „Sie konnten sogar Leute austricksen, die es besser wissen sollten, weil ihre E-Mails so überzeugend, unwiderstehlich und aktuell sind. Sie sehen nicht nur sehr realistisch aus, sondern nutzen auch Social-Engineering-, Phishing- und SIM-Swapping-Angriffe, um sich ersten Zugang zu den Netzwerken der Opfer zu verschaffen.“

MSPs müssen wachsam bleiben

MSPs müssen darauf achten, dass Scattered Spider statt Malware legitime Tools nutzt, um Schaden anzurichten. „Einmal drinnen setzt Scattered Spider verschiedene Techniken ein, um Daten zu stehlen, Ransomware einzusetzen und den Betrieb zu stören“, erklärt Spencer. „Ich habe gesehen, dass sie legitime Fernzugriffstools verwenden, was es schwieriger macht, den ersten Verstoß zu erkennen.“ 

Sie entwickeln sich auch ständig weiter und ändern ihre Methodik. „Gerade wenn man glaubt, sie und ihre Methoden zu kennen, ändern sie sich wieder“, erklärt Spencer. Einige der neueren, bemerkenswerten Angriffe lassen sich auf Scattered Spider zurückführen:

Ubiquiti Networks: Im Dezember 2022 griffen sie Ubiquiti Networks an, einen Hersteller von Netzwerkgeräten. Die Bedrohungsakteure griffen auf die Systeme von Ubiquiti zu, indem sie einer dort arbeitenden Person per Phishing Zugangsdaten stahlen. Anschließend stahlen sie große Datenmengen, darunter Quellcode, Kundeninformationen und Finanzunterlagen. Ubiquiti war gezwungen, seine Systeme für mehrere Tage abzuschalten und verlor Millionen von Dollar an Einnahmen. „Der Ubiquiti-Angriff war ein klassischer Scattered Spider, eine Kombination aus Phishing und Diebstahl von Zugangsdaten“, sagt Spencer.

MGM Resorts: Im September fanden Forscher und Behörden heraus, dass Scattered Spider mit ALPHV, einer Ransomware-Gruppe, zusammengearbeitet hat, um MGM Resorts anzugreifen. Angreifer verschafften sich Zugang zu den Systemen von MGM, indem sie sich als Mitarbeiter ausgaben und das Helpdesk des Unternehmens anriefen. Anschließend stahlen sie Daten, darunter Kundeninformationen und Finanzunterlagen. MGM zahlte schließlich 200 Millionen US-Dollar, um die gestohlenen Daten wiederherzustellen. „Es würde viel Glück an Spielautomaten erfordern, um 200 Millionen US-Dollar zu gewinnen“, sinnierte Spencer.

Geld ist der motivierende Faktor

Wie bei den meisten Cyberkriminellen ist Geld die Motivation. Sie richten sich an Organisationen mit wertvollen Vermögenswerten wie geistigem Eigentum, Kundendaten oder Finanzunterlagen. „Scattered Spider ist auf der Suche nach wertvollen Daten, die im Dark Web das meiste Geld einbringen“, bemerkt Spencer.

Schutz vor Scattered Spider

Spencer stimmt den meisten Abhilfeempfehlungen der CISA zu, darunter:

Überprüfung von Remote Access Tools (RAT):  „Das ist eine große Sache, denn das ist das A und O von Scattered Spider“, sagt Spencer. Unternehmen und ihre MSPs müssen wissen, welche RATs verwendet werden.

Überprüfung von Protokollen zur Ausführung von Fernzugriffssoftware: „Sie werden eine abnormale Nutzung von Programmen, die als tragbare ausführbare Datei ausgeführt werden, schnell erkennen“, erklärt Spencer. „Das ist eines der Markenzeichen von Scattered Spider.“

Verwendung von Sicherheitssoftware: Diese dient dazu, Instanzen von Fernzugriffssoftware zu erkennen, die nur in den Speicher geladen werden. „Das ist ein weiteres unschätzbares Werkzeug im Kampf gegen Scattered Spider“, sagt Spencer.  

Erforderung autorisierter Fernzugriffslösungen: Diese dürfen nur innerhalb Ihres Netzwerks über genehmigte Fernzugriffslösungen wie VPNs oder virtuelle Desktop-Schnittstellen (VDIs) verwendet werden. „Das sind alles vernünftige Schritte, die zusammen mit Benutzerschulungen dazu beitragen können, die Chancen zu Ihren Gunsten zu verbessern, aber Scattered Spider ist einer der Besten, wenn es darum geht, Verteidigungen zu überwinden, und sie sind hartnäckig. Sie untersuchen jede Schwachstelle, bis sie einen Weg hinein finden“, fügt Spencer hinzu.