Thought Leadership
Die Hackergrupppe Scattered Spider sorgt erneut für Aufsehen. Nach Angriffen auf bekannte britische Einzelhändler hat die Gruppierung nun gezielt Unternehmen aus der Luftfahrt- und Logistikbranche ins Visier genommen. Zu den jüngsten Opfern zählt auch Qantas, die größte Fluggesellschaft Australiens.
Neue Angriffswelle auf kritische Infrastruktur
Die Hackergruppe Scattered Spider, auch unter der Bezeichnung UNC3944 bekannt, richtet ihren Fokus zunehmend auf systemrelevante Branchen. Jüngste Vorfälle, wie der Cyberangriff auf Qantas, zeigen, dass nun insbesondere die Luftfahrt- und Transportbranche ins Zentrum der Attacken gerückt ist. Das FBI hat in diesem Zusammenhang eine offizielle Warnung herausgegeben.
Vom SIM-Swapping zur Ransomware
Ursprünglich war Scattered Spider vor allem durch SIM-Swapping-Attacken gegen Telekommunikationsanbieter bekannt. Diese Taktiken nutzte die Gruppe, um an Zugangsdaten zu gelangen und betrügerische Aktivitäten durchzuführen. Doch seit Anfang 2023 verfolgen die Täter einen neuen Kurs: Sie setzen verstärkt auf Ransomware-Erpressung und den Diebstahl sensibler Daten.
Zielgerichtete Kampagnen gegen wechselnde Branchen
Besonders auffällig ist das strategische Vorgehen von Scattered Spider. Statt wahlloser Attacken setzt die Gruppe auf gezielte Kampagnen gegen einzelne Branchen: Finanzdienstleister Ende 2023, die Lebensmittelindustrie im Mai 2024 und jetzt die Luftfahrt. Hinter dieser Taktik steckt offenbar das Kalkül, gezielt maximalen Druck auszuüben und Aufmerksamkeit zu erzeugen.
Angriff auf bekannte Marken als Statussymbol
Neben finanziellen Motiven scheint auch das Streben nach medialer Präsenz eine Rolle zu spielen. So attackierte die Gruppe in der Vergangenheit auffallend oft namhafte Unternehmen und Marken – ein Hinweis darauf, dass Prestige und öffentliche Wirkung eine wichtige Rolle in ihrer Strategie spielen könnten.
Experteneinschätzung: Dreist, hartnäckig, gefährlich
Dazu die ausführliche Einschätzung von Charles Carmakal, CTO von Mandiant Consulting bei Google Cloud:
„Mandiant ist mehrere Vorfälle im Luftfahrt- und Transportsektor bekannt, die den Aktivitäten von UNC3944 oder Scattered Spider ähneln. Wir arbeiten noch an der Zuordnung und Analyse, aber angesichts der Gewohnheit dieses Akteurs, sich auf einen einzigen Sektor zu konzentrieren, empfehlen wir der Branche, unverzüglich Maßnahmen zur Absicherung ihrer Systeme zu ergreifen.
Obwohl Scattered Spider in der Vergangenheit globale Unternehmen – darunter auch in Australien – ins Visier genommen hat, ist es noch zu früh, um sagen zu können, ob sie ihre aktuellen Aktivitäten auch auf australische Fluggesellschaften ausgeweitet haben. Verschiedene Bedrohungsakteure nutzen telefonbasierte Social-Engineering-Methoden, um Organisationen zu kompromittieren – darunter auch ein finanziell motivierter Bedrohungsakteur, den wir UNC6040 nennen.
Die Kernstrategien, -techniken und -verfahren des Akteurs sind unverändert geblieben. Das bedeutet, dass Unternehmen proaktive Maßnahmen ergreifen können, wie z. B. die Schulung ihrer Helpdesk-Mitarbeiter zur Durchsetzung robuster Identitätsprüfungsprozesse und den Einsatz phishing-resistenter MFA, um sich gegen diese Angriffe zu schützen. Weitere Ratschläge finden Sie in unserem früheren Leitfaden zur Absicherung.“
Fazit
Scattered Spider entwickelt sich zunehmend zur größeren Bedrohung für kritische Infrastrukturen weltweit. Sicherheitsbehörden und Unternehmen sind gefordert, auf die ausgeklügelten Taktiken der Gruppe vorbereitet zu sein – denn der nächste Sektor könnte bereits im Fadenkreuz stehen.
Weitere Informationen:
Empfohlene Schutzmaßnahmen umfassen u. a. die Schulung von Helpdesk-Teams, phishing-resistente MFA und verbesserte Identitätsprüfungen – konkrete Empfehlungen finden Sie hier im Blogbeitrag.
(vp/Google Cloud)
