Scattered Lapsus$ Hunters kündigen an, dass sie verschwinden, aber die Bedrohung bleibt bestehen

17. September 2025
Lucie Cardiet
Manager für Cyberbedrohungsforschung
Scattered Lapsus$ Hunters kündigen an, dass sie verschwinden, aber die Bedrohung bleibt bestehen

In einer unerwarteten öffentlichen Erklärung haben die Mitglieder von Scattered Spider, Lapsus$, ShinyHunters und anderen, die unter dem breiteren Com-Ökosystem operieren, erklärt, dass sie "untertauchen" werden.In ihrem letzten Kommuniqué betonen sie, dass sie ihre Ziele erreicht haben und dass einige Mitglieder in der Anonymität verschwinden werden, während andere "weiterhin Systeme studieren und verbessern werden, die ihr in eurem täglichen Leben benutzt. In aller Stille."  

Obwohl die Ankündigung alle Merkmale eines theatralischen Ausstiegs aufweist, sollten sich die Verteidiger nicht erleichtert fühlen. Dies ist eher ein Wendepunkt als ein Abschluss. Die Fähigkeit der Gruppe, Identität als Waffe einzusetzen, SaaS-Plattformen auszunutzen und durch öffentliches Spektakel zu erpressen, hat die Cyberkriminalität grundlegend verändert.

Für SOC-Teams ist dies nicht das Ende der Geschichte, sondern eine Erinnerung daran, sich auf die Erkennung von subtilen Signalen der Kompromittierung zu konzentrieren, bevor der Datendiebstahl zum Druckmittel wird.

Abschiedspost von Scattered Lapsus Hunters
Screenshot des Abschiedspostings. Quelle: X

Inside The Com: Ein Ökosystem von Crews

Um Scattered Lapsus$ Hunters zu verstehen , müssen Sie The Com verstehen. Die Abkürzung steht für The Community und ist keine einzelne Hackergruppe, sondern ein cyberkriminelles Ökosystem mit Tausenden von Mitgliedern weltweit. Ständig entstehen neue Fraktionen, die sich zusammenschließen und ihren Namen ändern. Scattered Spider, Lapsus$ und ShinyHunters sind nur die bekanntesten Namen, und viele andere bleiben unentdeckt.

Ursprünge und Entwicklung

Die Wurzeln der Com reichen bis in die späten 2010er Jahre zurück, als Teenager Instagram-Konten gekapert haben, um wertvolle Kurznamen zu verkaufen. Daraus entwickelte sich schnell das SIM-Swapping, bei dem Telekommunikationsmitarbeiter bestochen oder dazu gebracht wurden, Telefonnummern umzuleiten. Dadurch erhielten die Angreifer die Kontrolle über die SMS-basierte Multi-Faktor-Authentifizierung und öffneten die Tür zu E-Mails, cloud und Kryptowährungs-Wallets. Ein Opfer verlor mehr als 20 Millionen Dollar in Kryptowährungen an mit Com verknüpfte Akteure.

Die Strafverfolgungsbehörden nahmen 2018 erste Festnahmen vor, und 2019 wurden mehrere Mitglieder wegen Diebstahls in Millionenhöhe verurteilt. Doch das Netzwerk erwies sich als widerstandsfähig. Die Untergruppen spalteten sich auf und passten sich an, wobei sie über den SIM-Tausch hinaus zu phishing, SaaS-Nutzung, Erpressung und sogar Swatting übergingen.

Was The Com so gefährlich macht, ist ihr Umfang, ihre Anpassungsfähigkeit und ihre Jugend. Die Mitgliedschaft ist fließend, die Taktiken reichen von groben Belästigungen bis hin zu ausgeklügelten Eingriffen, und viele Mitglieder sind digitale Eingeborene, für die das Eindringen in Netzwerke nur eine weitere Online-Aktivität ist. Es handelt sich um ein lebendiges Ökosystem, das sich ständig erneuert und dafür sorgt, dass selbst wenn eine Gruppe fällt, andere schnell aufsteigen.

Kernfraktionen

Die Com ist zwar weitläufig und dezentralisiert, aber drei Fraktionen haben sich über den Lärm erhoben und das Spielbuch geformt, das die Verteidiger jetzt anerkennen:

  • Scattered Spider konzentrierte sich auf Social Engineering in großem Maßstab. Sie beherrschten Vishing-Anrufe, die Imitation von IT-Helpdesks und den Austausch von SIM-Karten, um Anmeldedaten zu entführen. Ihre Ziele waren Single Sign-On-Anbieter, Telekommunikationsanbieter und große Unternehmen, bei denen eine einzige kompromittierte Identität eine ganze Umgebung freischalten konnte.
  • ShinyHunters haben sich auf Massendatendiebstahl und Monetarisierung spezialisiert. Sie brachen in SaaS-Plattformen und Entwicklerumgebungen ein, stahlen Datenbanken und leiteten sie über Foren wie RaidForums und BreachForums weiter. Ihr Ruf als zuverlässige Verkäufer von Zugang und Daten machte sie zu einem zentralen Bestandteil der Untergrundwirtschaft.
  • LAPSUS$ lebte vom Spektakel. Anstelle von ransomware setzten sie auf die Anwerbung von Insidern, den Diebstahl von Zugangsdaten und öffentliche Lecks, um den Druck zu maximieren. Sie behandelten Erpressung wie Theater und verwandelten Telegram-Kanäle in Live-Übertragungen ihrer Einbrüche.

Gemeinsam bauten diese Gruppierungen ein komplementäres Modell auf. Scattered Spider öffnete die Tür durch Social Engineering, ShinyHunters verwandelte den Zugang in Profit, und LAPSUS$ nutzte die Öffentlichkeitsarbeit, um Zahlungen zu erzwingen.

Die Abschiedsbotschaft bestätigte, dass diese Crews keine separaten Marken sind, die um Aufmerksamkeit konkurrieren, sondern voneinander abhängige Teile desselben Ökosystems.

Wer wurde sonst noch in der Verabschiedung genannt?

"Wir, LAPSUS$, Trihash, Yurosh, yaxsh, WyTroZz, N3z0x, Nitroz, TOXIQUEROOT, Prosox, Pertinax, Kurosh, Clown, IntelBroker, Scattered Spider, Yukari und viele andere, haben beschlossen, in den Untergrund zu gehen."

In der Abschiedsbotschaft wurde mehr als nur ein Rückzug angekündigt. Sie listete eine Reihe von Handlungen auf, die, wenn man sie zusammen betrachtet, die ganze Bandbreite von The Com offenbaren.

  • Prosox und Kurosh (auch bekannt als Kuroi'SH oder Kuroi-SH) erlangten im April 2018 durch den Vevo-YouTube-Hack weltweite Berühmtheit. Sie drangen in die Konten von Vevo ein und verunstalteten mehrere Musikvideos, wobei sie vor allem Despacito (das damals meistgesehene Video auf YouTube) löschten und "Free Palestine"-Botschaften veröffentlichten. Zwei 18-Jährige, bei denen es sich vermutlich um Prosox und Kuroi'SH handelt, wurden später in Paris verhaftet. Prosox beschrieb den Hack als "nur zum Spaß", ein frühes Beispiel für die Kühnheit und die Jagd nach dem Clout, die LAPSUS$ später auszeichnen sollten.
  • Pertinax tauchte in der gleichen französischen Defacement-Szene auf. Im Jahr 2018 verunstaltete ein Hacker, der sich "Galack" nannte , eine Website und hinterließ eine Liste mit Aufrufen, darunter Prosox, Neimad, Head, Pertinax und andere. Dieses Graffiti bestätigte den Platz von Pertinax in dieser Gemeinschaft, die später in das breitere Com-Ökosystem einfloss.
  • IntelBroker wurde oft als Schlüsselfigur in diesem Netzwerk dargestellt, die ShinyHunters mit der Unterwelt von BreachForums verbindet. Die Strafverfolgungsbehörden identifizierten ihn als den 23-jährigen britischen Hacker Kai Logan West und brachten ihn mit dem Verkauf von gestohlenen Unternehmens- und Regierungsdaten in Verbindung. Die Administratoren von BreachForums bestritten jedoch später, dass IntelBroker jemals der tatsächliche Eigentümer war oder über administrative Rechte verfügte. Laut ihrer Erklärung vom Juli 2025 wurde ihm der Titel "Eigentümer" absichtlich als Ablenkungsmanöver zugewiesen, während die Infrastruktur und die Leitung des Forums woanders blieben.
  • Yukari erlangte auf BreachForums Berühmtheit als produktiver Verkäufer gestohlener Datenbanken, die oft mit Technologieunternehmen und manchmal mit Spielen oder Animes in Verbindung stehen. Ihre Bekanntheit wurde im August 2023 unterstrichen, als ShinyHunters selbst ein beispielloses Kopfgeld von 500.000 US-Dollar in Monero für Informationen aussetzte, die zur Identifizierung von Yukari führen. Das Kopfgeld, begleitet von einem eigenen Telegram-Kanal zum Sammeln von Hinweisen, machte deutlich, wie einflussreich Yukari selbst in kriminellen Kreisen geworden war.
  • Yurosh war direkt für den Einbruch bei Free Mobile in Frankreich im Oktober 2024 verantwortlich. Zusammen mit einem Mitarbeiter verschaffte er sich Zugang zu 19,2 Millionen Kundendaten, darunter auch Bankdaten. Die Daten wurden kurzzeitig auf BreachForums zur Versteigerung angeboten, aber nach Angaben von Yurosh nie verkauft. Stattdessen stellte er den Einbruch als Protest gegen mangelnde Sicherheit und staatliche Überwachung dar und teilte sogar die persönlichen Daten des Free-CEO mit einem Journalisten als Beweis.
  • WyTroZz hat sich mit SQL-Injection-Angriffen einen Namen gemacht. Im April 2018 gab er die Anmeldedaten von etwa 1 700 Skype-Nutzern preis, einschließlich der Passwörter im Klartext, und veröffentlichte die Daten auf Ghostbin und Pastebin. Diese frühe Aktivität zeigte seine Fähigkeit, Webanwendungen auszunutzen und sensible Daten zu stehlen.
  • TOXIQUEROOT (oder TOXIQUERoot) ist mindestens seit 2018 aktiv, als ein rivalisierender Hacker, bekannt als Cerberus, einen Dox veröffentlichte, der seine Identität und seine Aktivitäten enthüllte. Dieses Leck enthielt Screenshots von kompromittierten Konten großer französischer Unternehmen, was zeigt, dass er in lokalen Kreisen bereits bekannt war. Abgesehen von Forenchats führte TOXIQUEROOT auch Defacements im gleichen Stil wie Prosox und Kurosh durch, einschließlich der Übernahme eines YouTube-Kanals, auf dem seine Stimme in dem geposteten Video zu hören ist. Dies ist zwar weniger bekannt als der Vevo-Hack, zeigt aber, dass er Teil derselben französischen Szene war, die Verunstaltung sowohl als Protest als auch als Performance betrachtete.

Die Com ist nicht eine einzige Bande, sondern eine Lieferkette , in der Zugang, Daten und Öffentlichkeitsarbeit auf verschiedene Rollen verteilt sind.

Verunstalter der alten Schule tauchen neben jüngeren Akteuren auf, die alle eine Rolle spielen. Mit der Veröffentlichung einer langen Liste von Namen kündigt die Gruppe nicht nur ihren Abschied an, sondern verwischt auch die Zuordnung.

Genauso wie IntelBroker als Aushängeschild dargestellt wurde, um die Aufmerksamkeit der Strafverfolgungsbehörden auf sich zu lenken, könnte dieser Dienstplan als weitere Ablenkung dienen, um den Fokus auf mehrere Handlungen zu verteilen, während die Kernmaschinerie weiterläuft.

Was es wirklich zeigt, ist, dass The Com eher durch Arbeitsteilung als durch ein einzelnes Banner gedeiht, und dass ihre entscheidende Innovation die Erpressung ohne ransomware bleibt, bei der Zugang, Daten und Wahrnehmung die Waffen sind.

Jenseits von Ransomware: Erpressung als neues Modell

Ransomware Crews wie LockBit und Global operieren jetzt als RaaS-Plattformen und generieren maßgeschneiderte Payloads auf Anfrage. Ihr Modell stützt sich immer noch auf Verschlüsselung, malware und verlängerte Verweildauer, all das erzeugt Rauschen, das Verteidiger manchmal erkennen können.

Bei den Scattered Lapsus$ Hunters und anderen Com-Gruppierungen ist der Ansatz ein anderer. Sie konzentrieren sich auf Zugang, Diebstahl und Aufdeckung. Screenshots von Jaguar Land Rover-Systemen oder Salesforce-Anbieterdaten, die über OAuth-Token exfiltriert wurden, sind keine Vorstufe zur Verschlüsselung, sondern das eigentliche Druckmittel.

Bei der Erpressung geht es nicht mehr um die Wiederherstellung des Zugangs, sondern um die Maximierung des Drucks durch die Androhung von öffentlicher Demütigung, Gegenreaktionen der Kunden und behördlicher Kontrolle.

Dieses Modell gedeiht in Umgebungen, in denen Identitäts- und SaaS-Plattformen standardmäßig vertrauenswürdig sind. Angreifer mischen sich in den normalen Datenverkehr, missbrauchen legitime Integrationen und geben sich in Echtzeit als IT-Mitarbeiter aus. Einige verwenden phishing , die Okta oder andere SSO-Anbieter überzeugend imitieren und sogar MFA-Codes auf gefälschten "Faktor"-Seiten abfangen. Andere rufen Mitarbeiter direkt an und bringen sie dazu, Sitzungs-Tokens auszuhändigen. Wenn das Eindringen sichtbar wird, geschieht dies oft durch ein Leck auf Telegram und nicht durch einen internen Alarm.

Die Salesloft Drift OAuth-Verletzung hat gezeigt, wie leise diese Kompromittierungen sein können. Die Angreifer saugen Salesforce-Daten ab, einschließlich Anmeldeinformationen und API-Schlüssel, ohne dass die malware ausgelöst wird. Die Daten selbst waren der Verhandlungsgegenstand. Subtile Signale wie eine ungewöhnliche Identitätsnutzung, unerwartete SaaS-Integrationen oder unregelmäßige MFA-Anfragen sind jetzt die wahren Indikatoren für eine Kompromittierung.

Die Sicherheitslücke im Zeitalter von SaaS und KI

Die Com deckt eine kritische Sicherheitslücke auf. Herkömmliche Tools wurden entwickelt, um malware und ransomware abzufangen, aber erpresserische Gruppen operieren auf eine Art und Weise, die diese Verteidigungssysteme selten sehen. Sie nutzen Identitäts- und SaaS-Plattformen aus, denen Unternehmen von Natur aus vertrauen, und verwandeln blinde Flecken in Einfallstore.

Diese Diskrepanz zeigt sich in mehrfacher Hinsicht:

  • Malware Abwehrmaßnahmen übersehen OAuth-Missbrauch. Wenn Angreifer Salesforce- oder Google Workspace-Daten mit gestohlenen Token abgreifen, wird keine malware ausgeführt. Die Endpoint hat nichts zu entdecken.
  • Die Netzwerküberwachung übersieht SaaS-Datenverkehr. Daten bewegen sich zwischen cloud über verschlüsselte Kanäle, die von Perimeter-Tools nicht analysiert werden können, so dass Exfiltration in legitimen Datenströmen verborgen bleibt.
  • MFA-Protokolle allein verfehlen Social Engineering. Wenn Mitarbeiter in einem Live-Anruf davon überzeugt werden, ein Sitzungs-Token weiterzugeben, zeigen die Authentifizierungs-Tools nur eine "gültige Anmeldung", nicht aber eine Kompromittierung.

Die ransomware Ära war geprägt von Verschlüsselung und lauten Operationen.

Das Zeitalter der Erpressung lebt von Heimlichkeit, Identitätsmissbrauch und der Ausnutzung von SaaS.

Diese Lücke zu schließen erfordert einen Einblick in die Verhaltensweisen, nicht nur in die Signaturen. Die Vectra AI bietet diese Transparenz, indem sie subtile Signale des Missbrauchs in cloud, SaaS-, Netzwerk- und Identitätssystemen erkennt. So hat Ihr Team die Chance, Erpressungen zu stoppen, bevor gestohlene Daten zum Druckmittel werden.

Sehen Sie in unserer selbstgeführten Demo, wie es in der Praxis funktioniert .

Häufig gestellte Fragen