Scattered Spider: Was Sie jetzt wissen müssen

Scattered Spider ist der von CrowdStrike vergebene Name für eine lose verbundene eCrime-Gruppe, deren Mitgliedschaft flüchtig und vage definiert ist. Andere Anbieter verfolgen diese Bedrohungsakteursgruppe unter den Bezeichnungen UNC3944, Storm-0875, LUCR-3 und anderen Bezeichnungen.  

Die Motive der Gruppe sind in der Regel finanzieller Natur, und sie zielt auf eine breite Palette von Branchen und Ländern ab. Die Opfer fallen typischerweise in westlichen Ländern wie den Vereinigten Staaten, Kanada, dem Vereinigten Königreich und der Schweiz an, aber es ist auch bekannt, dass ostasiatische Länder wie Thailand und südamerikanische Entitäten in Brasilien ins Visier genommen werden. 

Seit 2022 aktiv, monetarisiert Scattered Spider seine Angriffe typischerweise durch Ransomware und Erpressung von gestohlenen Daten, wobei der Fokus auf großen Zielen wie Fortune-500-Unternehmen in Branchen wie Technologie, Finanzdienstleistungen, Einzelhandel, Luft- und Raumfahrt und mehr liegt. 

Aktuelle Aktivitäten von Scattered Spider 

Aktuelle Schlagzeilen schreiben der Gruppe groß angelegte Angriffe auf prominente Ziele zu, darunter Transport for London, Caesars, MGM Resorts, DoorDash, CloudFlare, Marks & Spencer, Harrods und Co-op.  

Da ihre Angriffe immer häufiger werden, ist es wichtig zu verstehen, wie sie sich typischerweise Zugang zu einem Unternehmen verschaffen und wie sie operieren, sobald sie sich in einem Netzwerk befinden. 

Die Ziele der Gruppe neigen dazu, sich im Laufe der Zeit zu verändern – derzeit scheint der Einzelhandel ihr Hauptziel zu sein, aber im nächsten Monat könnte ihr Fokus woanders liegen. Es ist wichtig, dass alle Unternehmen verstehen, dass sie jederzeit Ziele dieser Gruppe werden können, insbesondere größere Organisationen mit globaler Präsenz.  

Gängige TTPs 

Scattered Spider neigt dazu, fortgeschrittenes Social Engineering und Täuschung einzusetzen, um sich initialen Zugriff auf eine Organisation zu verschaffen, oft per SMS (Smishing) oder Anruf (Vishing). Es ist auch bekannt, dass sie externe Helpdesk-Nummern anrufen, um Passwörter oder MFA-Nummern für ahnungslose Benutzer zurücksetzen zu lassen, wodurch die Gruppe Zugang zu Konten erhält. 

Ihre Aktivitäten gipfeln meist in Massendiebstahl von Daten und Ransomware, was zu einer doppelten Erpressung der Opfer führt, indem sie diese zwingen, sowohl für die Entschlüsselung der Daten zu zahlen als auch die gestohlenen Daten nicht freizugeben. Zu den von ihnen verwendeten Methoden gehören: 

• Helpdesk-Impersonation: Verwendet Social Engineering, um Helpdesks dazu zu bringen, Passwörter und MFA-Material für gezielte Administratoren oder andere privilegierte Konten zurückzusetzen. 

• „SIM-Swapping“ für den ersten Zugriff auf Identitäten 

• Doppelte Erpressung, um ihre Verstöße zu monetarisieren, sowohl durch Verschlüsselung als auch durch die Drohung, Daten zu veröffentlichen 

• Active Directory-Kompromittierung: Es ist bekannt, dass sie NTDS.dit von Domain Controllern extrahieren – der primären Anmeldedatenbank für Active Directory 

• Credential-Phishing: Verwendet ähnlich aussehende Domains, um Opfer zur Eingabe von Anmeldedaten zu verleiten – diese enthalten oft Begriffe wie okta, sso, help, corp, internal, sso, usw. 

• Seitwärtsbewegung: Es ist bekannt, dass RDP, SSH, PsExec und geplante Tasks missbraucht werden, um sich innerhalb eines Netzwerks zwischen Systemen zu bewegen. 

• Persistenz über RMM-Tools: Missbraucht Fernüberwachungs- und Managementplattformen wie AnyDesk, um den Zugriff aufrechtzuerhalten 

• Credential Dumping: Mit Tools wie Mimikatz, secretsdump.py und DCSync 

• Bereitstellung von Ransomware: Es wurde beobachtet, dass die DragonForce Ransomware-as-a-Service (RaaS)-Variante für die Durchführung von Angriffen eingesetzt wurde. 

Empfehlungen zur Absicherung 

Varonis Threat Labs empfiehlt die folgenden Abwehrmaßnahmen, um Daten vor Bedrohungen wie Scattered Spider zu schützen:  

• Stärkung der Helpdesk-Protokolle: Implementierung von Verfahren zur Identitätsprüfung, um Social-Engineering-Angriffe zu verhindern 

• Phishing-resistente MFA bereitstellen: Verwenden Sie Nummernabgleichs- oder Hardware-Token anstelle von einfachen Push-Benachrichtigungen für alle Remote-Zugriffspunkte. 

• Endpoint-Abdeckung sicherstellen: Sorgen Sie für eine 100 %ige Abdeckung mit gut konfigurierten Endpoint Detection and Response (EDR)-Tools und aktiver Überwachung von Alerts. 

• Web-Traffic filtern: Verwenden Sie Web-Proxys, um den Zugriff auf verdächtige oder bösartige Domains zu blockieren. 

• Kritische Datenspeicher überwachen: Verwenden Sie Tools wie Varonis, um ungewöhnliche Zugriffsmuster zu erkennen, die auf einen laufenden Sicherheitsverstoß hinweisen könnten. 

• Red-Team-Übungen durchführen: Testen Sie regelmäßig die Verteidigungsmaßnahmen gegen simulierte Angriffe, insbesondere auf Active Directory. 

• Internetzugang des Servers einschränken: Wenden Sie Standard-Deny-Regeln an und erlauben Sie auf der Firewall-Ebene nur wesentliche Domänen und IP-Adressen 

• Systeme auf dem neuesten Stand halten: Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen aktualisiert und auf dem neuesten Stand sind. 

• Sichere Backups durchführen: Speichern Sie Backups offline und testen Sie sie regelmäßig, um die Wiederherstellbarkeit im Falle eines Angriffs sicherzustellen. 

Warten Sie nicht, bis es zu einem Verstoß kommt.

Scattered Spider ist insofern einzigartig, als seine Ränge nicht klar definiert sind und eine Zuordnung im Vergleich zu anderen Bedrohungsakteuren schwierig zuzuordnen ist.  

Wie immer zielen die wichtigsten Abwehrmaßnahmen auf die Überwachung, Backups und die Implementierung gemeinsamer Best-Practice-Verfahren im gesamten Netzwerk Ihres Unternehmens ab.  

Wenn Sie sofortige Hilfe benötigen oder glauben, dass Ihre Organisation von Bedrohungen wie Scattered Spider betroffen ist, kontaktieren Sie unser Team.