In einer unerwarteten öffentlichen Erklärung haben die Mitglieder von Scattered Spider, Lapsus$, ShinyHunters und anderen, die unter dem breiteren Com-Ökosystem operieren, erklärt, dass sie "untertauchen" werden.In ihrem letzten Kommuniqué betonen sie, dass sie ihre Ziele erreicht haben und dass einige Mitglieder in der Anonymität verschwinden werden, während andere "weiterhin Systeme studieren und verbessern werden, die ihr in eurem täglichen Leben benutzt. In aller Stille."
Obwohl die Ankündigung alle Merkmale eines theatralischen Ausstiegs aufweist, sollten sich die Verteidiger nicht erleichtert fühlen. Dies ist eher ein Wendepunkt als ein Abschluss. Die Fähigkeit der Gruppe, Identität als Waffe einzusetzen, SaaS-Plattformen auszunutzen und durch öffentliches Spektakel zu erpressen, hat die Cyberkriminalität grundlegend verändert.
Für SOC-Teams ist dies nicht das Ende der Geschichte, sondern eine Erinnerung daran, sich auf die Erkennung von subtilen Signalen der Kompromittierung zu konzentrieren, bevor der Datendiebstahl zum Druckmittel wird.
Inside The Com: Ein Ökosystem von Crews
Um Scattered Lapsus$ Hunters zu verstehen , müssen Sie The Com verstehen. Die Abkürzung steht für The Community und ist keine einzelne Hackergruppe, sondern ein cyberkriminelles Ökosystem mit Tausenden von Mitgliedern weltweit. Ständig entstehen neue Fraktionen, die sich zusammenschließen und ihren Namen ändern. Scattered Spider, Lapsus$ und ShinyHunters sind nur die bekanntesten Namen, und viele andere bleiben unentdeckt.
Ursprünge und Entwicklung
Die Wurzeln der Com reichen bis in die späten 2010er Jahre zurück, als Teenager Instagram-Konten gekapert haben, um wertvolle Kurznamen zu verkaufen. Daraus entwickelte sich schnell das SIM-Swapping, bei dem Telekommunikationsmitarbeiter bestochen oder dazu gebracht wurden, Telefonnummern umzuleiten. Dadurch erhielten die Angreifer die Kontrolle über die SMS-basierte Multi-Faktor-Authentifizierung und öffneten die Tür zu E-Mails, cloud und Kryptowährungs-Wallets. Ein Opfer verlor mehr als 20 Millionen Dollar in Kryptowährungen an mit Com verknüpfte Akteure.
Die Strafverfolgungsbehörden nahmen 2018 erste Festnahmen vor, und 2019 wurden mehrere Mitglieder wegen Diebstahls in Millionenhöhe verurteilt. Doch das Netzwerk erwies sich als widerstandsfähig. Die Untergruppen spalteten sich auf und passten sich an, wobei sie über den SIM-Tausch hinaus zu phishing, SaaS-Nutzung, Erpressung und sogar Swatting übergingen.
Was The Com so gefährlich macht, ist ihr Umfang, ihre Anpassungsfähigkeit und ihre Jugend. Die Mitgliedschaft ist fließend, die Taktiken reichen von groben Belästigungen bis hin zu ausgeklügelten Eingriffen, und viele Mitglieder sind digitale Eingeborene, für die das Eindringen in Netzwerke nur eine weitere Online-Aktivität ist. Es handelt sich um ein lebendiges Ökosystem, das sich ständig erneuert und dafür sorgt, dass selbst wenn eine Gruppe fällt, andere schnell aufsteigen.
Kernfraktionen
Die Com ist zwar weitläufig und dezentralisiert, aber drei Fraktionen haben sich über den Lärm erhoben und das Spielbuch geformt, das die Verteidiger jetzt anerkennen:
- Scattered Spider konzentrierte sich auf Social Engineering in großem Maßstab. Sie beherrschten Vishing-Anrufe, die Imitation von IT-Helpdesks und den Austausch von SIM-Karten, um Anmeldedaten zu entführen. Ihre Ziele waren Single Sign-On-Anbieter, Telekommunikationsanbieter und große Unternehmen, bei denen eine einzige kompromittierte Identität eine ganze Umgebung freischalten konnte.
- ShinyHunters haben sich auf Massendatendiebstahl und Monetarisierung spezialisiert. Sie brachen in SaaS-Plattformen und Entwicklerumgebungen ein, stahlen Datenbanken und leiteten sie über Foren wie RaidForums und BreachForums weiter. Ihr Ruf als zuverlässige Verkäufer von Zugang und Daten machte sie zu einem zentralen Bestandteil der Untergrundwirtschaft.
- LAPSUS$ lebte vom Spektakel. Anstelle von ransomware setzten sie auf die Anwerbung von Insidern, den Diebstahl von Zugangsdaten und öffentliche Lecks, um den Druck zu maximieren. Sie behandelten Erpressung wie Theater und verwandelten Telegram-Kanäle in Live-Übertragungen ihrer Einbrüche.
Gemeinsam bauten diese Gruppierungen ein komplementäres Modell auf. Scattered Spider öffnete die Tür durch Social Engineering, ShinyHunters verwandelte den Zugang in Profit, und LAPSUS$ nutzte die Öffentlichkeitsarbeit, um Zahlungen zu erzwingen.
Die Abschiedsbotschaft bestätigte, dass diese Crews keine separaten Marken sind, die um Aufmerksamkeit konkurrieren, sondern voneinander abhängige Teile desselben Ökosystems.
Wer wurde sonst noch in der Verabschiedung genannt?
"Wir, LAPSUS$, Trihash, Yurosh, yaxsh, WyTroZz, N3z0x, Nitroz, TOXIQUEROOT, Prosox, Pertinax, Kurosh, Clown, IntelBroker, Scattered Spider, Yukari und viele andere, haben beschlossen, in den Untergrund zu gehen."
In der Abschiedsbotschaft wurde mehr als nur ein Rückzug angekündigt. Sie listete eine Reihe von Handlungen auf, die, wenn man sie zusammen betrachtet, die ganze Bandbreite von The Com offenbaren.
- Forum-Broker und Administratoren wie IntelBroker und Yukari betrieben die Marktplätze, auf denen gestohlene Daten gehandelt wurden, und überbrückten so die Kluft zwischen Zugang und Monetarisierung.
- Altgediente Verunstalter wie Prosox, Kurosh, TOXIQUEROOT, Pertinax und WyTroZz zeichnen ihre Wurzeln in der Web-Defacement-Kultur der 2010er Jahre nach und zeigen, wie sich die frühe Berühmtheit zu erpresserischer Kriminalität entwickelte.
- Operative Spezialisten wie Trihash, Yurosh, yaxsh, N3z0x, Nitroz und Clown traten nur selten in Erscheinung, aber ihre Anwesenheit signalisiert, dass sie für die Infrastruktur zuständig sind - phishing , Zugangsvermittler und Verhandlungsführer -, die benötigt werden, um die Maschine am Laufen zu halten.
Die Com ist keine einzelne Bande, sondern eine Lieferkette. Zugang, Daten und Publicity sind auf verschiedene Rollen verteilt, und Hacker der alten Schule sitzen bequem neben jüngeren Akteuren.
Die Veröffentlichung der Namen war selbst eine Taktik, die die Zuordnung verwirrte und sicherstellte, dass die Nachfolger den Ruf übernehmen, ohne eine feste Marke zu haben.
Dieses Mosaik aus Gruppen, Veteranen und Spezialisten zeigt, dass The Com eher durch Arbeitsteilung als durch eine einzige Fahne gedeiht. Und es schafft die Voraussetzungen für ihre entscheidende Innovation: Erpressung geht über ransomware hinaus, wo Zugang, Daten und Wahrnehmung die wahren Waffen sind.
Jenseits von Ransomware: Erpressung als neues Modell
Ransomware Crews wie LockBit und Global operieren jetzt als RaaS-Plattformen und generieren maßgeschneiderte Payloads auf Anfrage. Ihr Modell stützt sich immer noch auf Verschlüsselung, malware und verlängerte Verweildauer, all das erzeugt Rauschen, das Verteidiger manchmal erkennen können.
Bei den verstreuten Hunters und anderen Com-Gruppierungen ist der Ansatz ein anderer. Sie konzentrieren sich auf Zugang, Diebstahl und Aufdeckung. Screenshots von Jaguar Land Rover-Systemen oder Salesforce-Anbieterdaten, die über OAuth-Token exfiltriert werden, sind keine Vorstufe zur Verschlüsselung, sondern das eigentliche Druckmittel.
Bei der Erpressung geht es nicht mehr um die Wiederherstellung des Zugangs, sondern um die Maximierung des Drucks durch die Androhung von öffentlicher Demütigung, Gegenreaktionen der Kunden und behördlicher Kontrolle.
Dieses Modell gedeiht in Umgebungen, in denen Identitäts- und SaaS-Plattformen standardmäßig vertrauenswürdig sind. Angreifer mischen sich in den normalen Datenverkehr, missbrauchen legitime Integrationen und geben sich in Echtzeit als IT-Mitarbeiter aus. Einige verwenden phishing , die Okta oder andere SSO-Anbieter überzeugend imitieren und sogar MFA-Codes auf gefälschten "Faktor"-Seiten abfangen. Andere rufen Mitarbeiter direkt an und bringen sie dazu, Sitzungs-Tokens auszuhändigen. Wenn das Eindringen sichtbar wird, geschieht dies oft durch ein Leck auf Telegram und nicht durch einen internen Alarm.
Die Salesloft Drift OAuth-Verletzung hat gezeigt, wie leise diese Kompromittierungen sein können. Die Angreifer saugen Salesforce-Daten ab, einschließlich Anmeldeinformationen und API-Schlüssel, ohne dass die malware ausgelöst wird. Die Daten selbst waren der Verhandlungsgegenstand. Subtile Signale wie eine ungewöhnliche Identitätsnutzung, unerwartete SaaS-Integrationen oder unregelmäßige MFA-Anfragen sind jetzt die wahren Indikatoren für eine Kompromittierung.
Die Sicherheitslücke im Zeitalter von SaaS und KI
Die Com deckt eine kritische Sicherheitslücke auf. Herkömmliche Tools wurden entwickelt, um malware und ransomware abzufangen, aber erpresserische Gruppen operieren auf eine Art und Weise, die diese Verteidigungssysteme selten sehen. Sie nutzen Identitäts- und SaaS-Plattformen aus, denen Unternehmen von Natur aus vertrauen, und verwandeln blinde Flecken in Einfallstore.
Diese Diskrepanz zeigt sich in mehrfacher Hinsicht:
- Malware Abwehrmaßnahmen übersehen OAuth-Missbrauch. Wenn Angreifer Salesforce- oder Google Workspace-Daten mit gestohlenen Token abgreifen, wird keine malware ausgeführt. Die Endpoint hat nichts zu entdecken.
- Die Netzwerküberwachung übersieht SaaS-Datenverkehr. Daten bewegen sich zwischen cloud über verschlüsselte Kanäle, die von Perimeter-Tools nicht analysiert werden können, so dass Exfiltration in legitimen Datenströmen verborgen bleibt.
- MFA-Protokolle allein verfehlen Social Engineering. Wenn Mitarbeiter in einem Live-Anruf davon überzeugt werden, ein Sitzungs-Token weiterzugeben, zeigen die Authentifizierungs-Tools nur eine "gültige Anmeldung", nicht aber eine Kompromittierung.
Die ransomware Ära war geprägt von Verschlüsselung und lauten Operationen.
Das Zeitalter der Erpressung lebt von Heimlichkeit, Identitätsmissbrauch und der Ausnutzung von SaaS.
Diese Lücke zu schließen erfordert einen Einblick in die Verhaltensweisen, nicht nur in die Signaturen. Die Vectra AI bietet diese Transparenz, indem sie subtile Signale des Missbrauchs in cloud, SaaS-, Netzwerk- und Identitätssystemen erkennt. So hat Ihr Team die Chance, Erpressungen zu stoppen, bevor gestohlene Daten zum Druckmittel werden.
Sehen Sie in unserer selbstgeführten Demo, wie es in der Praxis funktioniert .