Scattered Spider
Scattered Spider ist ein finanziell motivierter Bedrohungsakteur, der für seinen ausgeklügelten Einsatz von Social Engineering, Identitätsmissbrauch und hochwirksame ransomware bekannt ist. Die seit Anfang 2022 aktive Gruppe hat sich schnell weiterentwickelt und zielt auf ein breites Spektrum von Branchen in mehreren Ländern ab.
Der Ursprung von Scattered Spider
Scattered SpiderSCATTERED SPIDER, auch bekannt unter Pseudonymen wie Dragonforce, Storm-0875, LUCR-3, Octo Tempest, Roasted 0ktapus, Scatter Swine und UNC3944, ist ein erfolgreicher eCrime-Angreifer, der seit Anfang 2022 aktiv ist. Es wird vermutet, dass SCATTERED SPIDER vor allem von westlichen Ländern aus operiert und für seine hochwirksamen finanziellen Angriffe bekannt ist, insbesondere gegen einkommensstarke Unternehmen. Ihre Operationen reichen vom Diebstahl von Anmeldedaten und SIM-Tausch bis hin zu aufsehenerregenden ransomware , oft mit Erpressung als Endziel.
Die ersten Kampagnen konzentrierten sich auf Unternehmen, die Kundenbeziehungen verwalten (CRM) und Geschäftsprozesse auslagern (BPO). Im April 2023 erweiterte sich der Aktionsradius jedoch durch die Einführung von ransomware als ihr primäres Instrument zur Geldbeschaffung. Trotz der Verhaftung mutmaßlicher jugendlicher Mitglieder im Jahr 2024 durch die britischen und US-amerikanischen Strafverfolgungsbehörden bleibt die Gruppe aktiv.
Zielländer von Scattered Spider
Die Gruppe richtet sich an zahlreiche Länder auf mehreren Kontinenten. Bemerkenswerte Beispiele sind:
- Vereinigte Staaten, Kanada und Brasilien auf dem amerikanischen Kontinent.
- Vereinigtes Königreich, Deutschland, Italien, Frankreich und die Schweiz in Europa.
- Südkorea, Japan, Singapur, Indien und Australien in der asiatisch-pazifischen Region.
Zielbranchen von Scattered Spider
Scattered Spider zeichnet sich durch die Breite der Branchen aus, auf die es abzielt. Dazu gehören:
- Telekommunikation und Technologie, insbesondere in den früheren Kampagnen.
- Einzelhandel, Finanzdienstleistungen und Konsumgüter, die verstärkt ins Visier genommen wurden, als ransomware in den Mittelpunkt ihres Geschäftsbetriebs rückte.
- Eine breite Palette anderer Sektoren wie die verarbeitende Industrie, das Hotel- und Gaststättengewerbe, das Rechtswesen, das Gesundheitswesen, der Energiesektor und Kryptowährungen, was auf einen nicht diskriminierenden, auf Rentabilität ausgerichteten "Großwildjagd"-Ansatz hinweist.
Die Opfer der Scattered Spider
Während viele Opfer aufgrund der sensiblen Natur der Vorfälle ungenannt bleiben, wird bestätigt, dass SCATTERED SPIDER hauptsächlich Auswirkungen hat:
- Fortune-500-Unternehmen
- Umsatzstarke Organisationen
- Unternehmen mit Zugang zu sensiblen Nutzerdaten und unternehmensweiter Infrastruktur
Die Angriffsmethode der Scattered Spider
Erreicht durch fortgeschrittene Social-Engineering-Taktiken wie Smishing, Vishing und das Vortäuschen von IT-Helpdesks. Die Angreifer nutzen das Vertrauen der Benutzer aus, um die Authentifizierung zu umgehen und sich Zugang zu verschaffen.
Sie haben es auf Konten mit erhöhten Rechten abgesehen und konzentrieren sich oft auf IT-, Sicherheits- und C-Suite-Mitarbeiter.
Verwendung benutzerdefinierter malware (z. B. CS-Paralyzer), Neustarts im abgesicherten Modus, Änderung der Registrierung und benutzerdefinierte UEFI-Bootkits (wie BlackLotus) zur Deaktivierung oder Umgehung von EDR/AV-Tools.
Erbeutet über phishing , Mimikatz, secretsdump.py, DCSync und RAM-Aufzeichnungen.
Nutzung legitimer Tools und interner Dokumentation zur Abbildung der Umgebung.
Über RDP, SSH, PSExec und Azure-Befehle nutzen sie interne Vertrauensbeziehungen aus.
Exfiltrieren von Daten aus SharePoint, GSuite, internen Dateifreigaben und E-Mail-Repositories.
Einsatz von malware oder RMM-Tools wie AnyDesk, ScreenConnect und TightVNC.
Nutzen Sie Tools wie Chisel und Plink, um Daten zu entfernten Servern oder Telegram-Kanälen zu tunneln.
Verschlüsselt Daten mit ransomware wie Alphv, DragonForce, Qilin und RansomHub. Führt manchmal eine doppelte Erpressung durch.
Erreicht durch fortgeschrittene Social-Engineering-Taktiken wie Smishing, Vishing und das Vortäuschen von IT-Helpdesks. Die Angreifer nutzen das Vertrauen der Benutzer aus, um die Authentifizierung zu umgehen und sich Zugang zu verschaffen.
Sie haben es auf Konten mit erhöhten Rechten abgesehen und konzentrieren sich oft auf IT-, Sicherheits- und C-Suite-Mitarbeiter.
Verwendung benutzerdefinierter malware (z. B. CS-Paralyzer), Neustarts im abgesicherten Modus, Änderung der Registrierung und benutzerdefinierte UEFI-Bootkits (wie BlackLotus) zur Deaktivierung oder Umgehung von EDR/AV-Tools.
Erbeutet über phishing , Mimikatz, secretsdump.py, DCSync und RAM-Aufzeichnungen.
Nutzung legitimer Tools und interner Dokumentation zur Abbildung der Umgebung.
Über RDP, SSH, PSExec und Azure-Befehle nutzen sie interne Vertrauensbeziehungen aus.
Exfiltrieren von Daten aus SharePoint, GSuite, internen Dateifreigaben und E-Mail-Repositories.
Einsatz von malware oder RMM-Tools wie AnyDesk, ScreenConnect und TightVNC.
Nutzen Sie Tools wie Chisel und Plink, um Daten zu entfernten Servern oder Telegram-Kanälen zu tunneln.
Verschlüsselt Daten mit ransomware wie Alphv, DragonForce, Qilin und RansomHub. Führt manchmal eine doppelte Erpressung durch.
Von Scattered Spider verwendete TTPs
So erkennen Sie Scattered Spider mit Vectra AI AI
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.
Häufig gestellte Fragen
Wodurch unterscheidet sich Scattered Spider von anderen Bedrohungsgruppen?
Sie kombinieren auf einzigartige Weise Social Engineering, SIM-Swapping und legitime Tools zur Umgehung von Sicherheitsmechanismen, ohne dass zero-day erforderlich sind.
Wie verschafft sich Scattered Spider den ersten Zugang?
Hauptsächlich durch Smishing, Vishing und phishing um Anmeldedaten zu sammeln und Helpdesk-Mitarbeiter dazu zu bringen, MFA/Authentifizierung zurückzusetzen.
Welche Art von malware oder Tools verwendet Scattered Spider ?
Sie verwenden eine Mischung aus kommerziellen RMM-Tools (z. B. AnyDesk), ransomware (z. B. Alphv, Qilin) und benutzerdefinierte Dienstprogramme (z. B. CS-Paralyzer, Pumpy).
Ist der Betrieb von Scattered Spider vollständig automatisiert?
Nein. Sie verwenden zwar automatisierte phishing , aber die meisten ihrer Post-Access-Vorgänge beruhen auf manuellen Handlungen.
Kann herkömmliche MFA vor Scattered Spider schützen?
Nicht zuverlässig. Sie nutzen SIM-Swapping, MFA-Müdigkeit und SSPR-Missbrauch, um den MFA-Schutz zu umgehen.
Welche Erkennungstechniken können helfen?
Der Einsatz einer robusten Network Detection and Response (NDR)- Lösung ist entscheidend für die Identifizierung und Unterbrechung der Aktivitäten von SCATTERED SPIDER. NDR kann seitliche Bewegungen, C2-Kommunikation und ungewöhnliche Datenexfiltrationsmuster im Ost-West- und Nord-Süd-Verkehr erkennen - selbst wenn die Angreifer legitime Tools wie RDP, PSExec oder verschlüsselte Tunnel (z. B. Chisel, Plink) verwenden.
Was sind Anzeichen für eine Kompromittierung (IoCs)?
Die Nutzung von File-Sharing-Diensten (z. B. file.io), ungewöhnliche RMM-Verbindungen und vom IT-Helpdesk initiierte MFA-Resets sind häufige Indikatoren.
Wie erhalten Scattered Spider die Persistenz aufrecht?
Über Bootkits, geplante Aufgaben, neue MFA-Registrierungen und deaktivierte Sicherheitstools.
Verwenden Scattered Spider jedes Mal ransomware ?
Nicht immer. In einigen Fällen zielen sie auf Datendiebstahl und Erpressung ab, ohne ransomware einzusetzen.