Verstreute Spider-Casino-Hacker entgehen der Verhaftung in aller Öffentlichkeit

Threat-Intelligence-Analysten, Einsatzkräfte und Strafverfolgungsbehörden auf Bundesebene scheinen alles über die Bedrohungsgruppe mit einer Reihe von Spitznamen zu wissen – unter anderem The Com, Scattered Spider, Muddled Libra, UNC3944, Starfraud und Octo Tempest. Warum also greift die Gruppe (die hinter den Hacks von MGM Resorts und Caesars Entertainment steckt) immer noch erfolgreich und ungestraft US-Organisationen an, ohne dass es bisher zu Störungen kam?

Diese Woche bestätigten Berichte, dass die Strafverfolgungsbehörden des Bundes zwar über die Identität der Cyberkriminalitätsgruppe informiert sind, die aus englischen Muttersprachlern besteht, es ihnen jedoch nicht gelungen ist, Festnahmen vorzunehmen. Tatsächlich bestätigten Quellen gegenüber Reuters, dass die Strafverfolgungsbehörden die Identität der Täter gekannt haben Verstreute Spinne Hacker-Kollektiv seit mehr als sechs Monaten.

Cybersicherheits-Bedrohungsjäger wie CrowdStrike-Präsident Michael Sentonas schlugen einen ausgesprochen verblüfften Ton an und stellten fest, dass die Tatsache, dass die Ransomware-Gruppe immer noch aktiv ist und „Verwüstung“ anrichtet, ein „Versagen der „Strafverfolgung““ sei.

FBI-Hinweis zu Scattered Spider

Die Bundesbehörden reagierten tatsächlich: Am 16. November veröffentlichten das FBI und die CISA eine Stellungnahme Beratung zu Scattered Spider, Bereitstellung von Kompromittierungsindikatoren (IoCs) und zusätzlichen Details, um Sicherheitsteams in Unternehmen mit Informationen zur Verteidigung ihrer Netzwerke auszustatten.

„FBI und CISA empfehlen Organisationen, die folgenden Abhilfemaßnahmen umzusetzen, um die Cybersicherheitslage Ihres Unternehmens basierend auf der Aktivität der Bedrohungsakteure zu verbessern und das Risiko einer Kompromittierung durch Scattered-Spider-Bedrohungsakteure zu verringern“, heißt es in der Empfehlung. Es enthielt eine Liste mit Empfehlungen, darunter Anwendungskontrollen, die Prüfung von Fernzugriffstools und die Implementierung der FIDO/WebAuthn-Authentifizierung oder der auf der Public-Key-Infrastruktur (PKI) basierenden Multifaktor-Authentifizierung (MFA).

Obwohl es hilfreich ist, so viele Informationen über die Cyberkriminalität der Gruppe zu haben, lässt sich damit nicht klären, warum Mitglieder der Ransomware-Gruppe nicht einfach verhaftet wurden oder zumindest ihr Betrieb unterbrochen wurde, sagen einige.

Hacker werden mit Gewaltandrohungen aggressiver

Wie bei den meisten Dingen, die an der Schnittstelle zwischen amerikanischen Unternehmen und Strafverfolgungsbehörden stattfinden, bleiben viele Details geheim. Allerdings sind die Auswirkungen der Gruppe, die über öffentliche Unternehmensnetzwerke grassiert, ähnlich MGM Resorts sind bekannt.

„UNC3944 ist einer der am weitesten verbreiteten und aggressivsten Bedrohungsakteure, die sich heute auf Unternehmen in den Vereinigten Staaten auswirken“, sagt Charles Carmakal, CTO von Mandiant Consulting bei Google Cloud. „Sie sind unglaublich disruptiv.“

Und die Gruppe scheint ständig ungestraft Cyberkriminalität zu begehen, die sogar in die Androhung körperlicher Gewalt übergeht. Microsoft-Forscher erklärten in ihrer Analyse der Gruppe, was sie nennen Okto-Sturm, dass es Angst um die persönliche Sicherheit nutzt, um Opfer zur Zahlung zu drängen.

„In seltenen Fällen greift Octo Tempest auf angstauslösende Taktiken zurück und zielt durch Telefonanrufe und SMS auf bestimmte Personen ab“, heißt es in ihrem Bericht von Microsofts Incident Response- und Threat Intelligence-Teams. „Diese Akteure verwenden persönliche Informationen wie Privatadressen und Familiennamen sowie physische Drohungen, um die Opfer dazu zu zwingen, Zugangsdaten für den Firmenzugang weiterzugeben.“

Berge von Daten über Scattered Spider

Die schiere Menge an Details, die Analysten über den Konzern veröffentlichen, ist schwindelerregend. Scattered Spider wurde erstmals im Jahr 2022 gemeldet, als es das Oktapus-Phishing-Kit nutzte, um Anmeldeinformationen zu stehlen. Die Gruppe erfolgreich beim SIM-Tausch herumgetrödelt aber es scheint Mitte 2023 den Durchbruch geschafft zu haben, als es eine Tochtergesellschaft des Ransomware-as-a-Service-Anbieters wurde Schwarze Katze, auch bekannt als Alphv.

Die Mitglieder der Gruppe verbesserten ihre Fähigkeiten stetig und fügten schließlich einen cleveren neuen Social-Engineering-Ansatz hinzu: Sie riefen Helpdesks an, um Anmeldeinformationen zurückzusetzen und verifizierte Konten zu übernehmen, um als ersten Einstieg in Zielumgebungen Fuß zu fassen. Das ist der Schachzug, den die Scattered-Spider-Crew letztlich anwandte Kompromiss MGM Resorts und behindern den Betrieb am Las Vegas Strip mehr als eine Woche lang, was allein für MGM Resorts zu Verlusten in Höhe von Hunderten Millionen Dollar führt. Die Gruppe gleichzeitig durchbrach er Caesars und handelte schnell eine Lösegeldzahlung in Höhe von 15 Millionen US-Dollar aus.

Carmakal von Mandiant meint, dass die Gruppe nach diesen beiden Vorfällen genauer unter die Lupe genommen werden sollte: „Sie haben in letzter Zeit viel Aufmerksamkeit auf sich gezogen, weil sie in letzter Zeit Unternehmen aus dem Gastgewerbe und der Unterhaltungsbranche ins Visier genommen haben.“

Strafverfolgungsbehörden kämpfen mit Cyberkriminalität

Die Bundesbehörden geben keine Einzelheiten zu den Ermittlungen zu Scattered Spider bekannt, aber Insider der Cybersicherheitsbranche vermuten, dass traditionelle Strafverfolgungsbehörden wie das FBI Schwierigkeiten haben, sich an die Verfolgung von Cyberkriminellen anzupassen.

„Die Strafverfolgungsbehörden sind eher an strukturiertere und organisiertere Arbeitsgruppen gewöhnt und kämpfen mit der Rückkehr chaotischerer und lose gekoppelter Bedrohungsakteure“, sagt Bugcrowd-Gründer Casey Ellis.

Laut Callie Guenther, Senior Managerin bei Critical Start, könnte die Unfähigkeit des FBI, Hackergruppen wie Scattered Spider zu stören, tatsächlich noch einige Zeit ein Problem darstellen.

„Der Kampf des FBI, diese Gruppe einzudämmen, verdeutlicht auch die umfassenderen Herausforderungen, mit denen die Strafverfolgung im digitalen Zeitalter konfrontiert ist“, sagt Günther. „Der Fall ‚Scattered Spider‘ ist bezeichnend für eine neue Ära der Cyber-Bedrohungen, in der kriminelle Gruppen aggressive Taktiken anwenden, einschließlich der Androhung körperlicher Gewalt. Diese Eskalation krimineller Strategien erfordert eine ebenso robuste und innovative Reaktion von Strafverfolgungs- und Cybersicherheitsexperten.“

Im Moment scheint es an den einzelnen Unternehmensteams zu liegen, Scattered Spider daran zu hindern, ihre Netzwerke zu behindern. In der Zwischenzeit wird die Cybersicherheitsgemeinschaft weiterhin Details zu ihren Exploits sammeln und auf Festnahmen warten.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/threat-intelligence/scattered-spider-casino-hackers-evade-arrest-plain-sight