Thought Leadership
Noah Michael Urban, ein zentrales Mitglied der international agierenden Cybercrime-Gruppe Scattered Spider, ist zu einer zehnjährigen Haftstrafe verurteilt worden.
Im April hatte Urban sich schuldig bekannt, unter anderem wegen Drahtbetrugs und Verschwörung.
Urban war bereits im Januar 2024 festgenommen worden. Im November desselben Jahres erhob das US-Justizministerium formell Anklage gegen ihn und vier weitere Personen aus der gleichen Hackergruppe. Die Vorwürfe reichten von Drahtbetrug über Verschwörung bis hin zu schwerer Identitätsdiebstahl.
Was ist Drahtbetrug (Wire Fraud)?
Drahtbetrug ist ein Straftatbestand im US-amerikanischen Recht, der den Einsatz elektronischer Kommunikationsmittel (z. B. Telefon, Internet, E-Mail) zur Durchführung eines Betrugs bezeichnet. Im Kern geht es darum, jemanden absichtlich zu täuschen, um sich finanziell oder materiell zu bereichern – und dabei „Drähte“, also elektronische oder digitale Kommunikationswege, zu nutzen.
Beispiel: Jemand verschickt eine gefälschte E-Mail, um Opfer dazu zu bringen, Geld oder vertrauliche Daten zu übermitteln. In vielen Cybercrime-Fällen, wie bei Scattered Spider, ist Drahtbetrug die zentrale Anklage, weil nahezu jeder Angriff über elektronische Kommunikation abgewickelt wird.
Millionenbetrug durch Phishing und SIM-Swaps
Laut Gerichtsdokumenten erbeuteten die Angeklagten zwischen September 2021 und April 2023 mehrere Millionen US-Dollar aus Kryptowährungs-Wallets. Dazu nutzten sie unter anderem gestohlene Zugangsdaten aus SMS-Phishing-Angriffen auf Einzelpersonen und Unternehmen. Zusätzlich verschafften sie sich durch gehackte Mitarbeiterkonten Zugang zu sensiblen Unternehmensdaten, darunter persönliche Informationen, Datenbanken und geistiges Eigentum.
Diese Informationen setzten sie gezielt ein, um über SIM-Swap-Angriffe die Kontrolle über E-Mail-Konten und Telefonnummern ihrer Opfer zu übernehmen. So konnten sie Zugriff auf Kryptowährungs-Wallets erlangen und die Gelder auf eigene Konten transferieren. Urban gab gegenüber Ermittlern an, zwischen Januar 2021 und März 2023 mehrere Millionen US-Dollar auf diese Weise erbeutet zu haben, wovon ein Teil auf Glücksspielplattformen verloren gegangen sei.
Härtere Strafe als erwartet
Die verhängte Haftstrafe von zehn Jahren überstieg die Forderungen der Staatsanwaltschaft, die lediglich acht Jahre beantragt hatte. Zusätzlich muss Urban 13 Millionen US-Dollar an die Opfer zurückzahlen.
Nach der Verurteilung äußerte sich Urban gegenüber dem Journalisten Brian Krebs über Twitter aus dem Gefängnis in Florida. Er bezeichnete das Urteil als ungerecht und bemängelte, dass sein Alter als mildernder Umstand nicht berücksichtigt worden sei.
Die Hackergruppe Scattered Spider
Scattered Spider, auch bekannt unter Namen wie 0ktapus, Scatter Swine oder UNC3944, ist ein flexibles Netzwerk von Cyberkriminellen, das sich auf ausgeklügelte Social-Engineering-Angriffe spezialisiert hat. Die Gruppe nutzt unter anderem Phishing, SIM-Swapping und Angriffe auf Mehrfaktorauthentifizierung (MFA-Bombing).
Im September 2023 verschärften die Angriffe der Gruppe deutlich, als sie MGM Resorts kompromittierten und mehr als 100 VMware ESXi-Server mit BlackCat-Ransomware verschlüsselten. Scattered Spider kooperiert in manchen Fällen auch mit Ransomware-Operationen wie Qilin, RansomHub oder DragonForce. Zu den bekannten Zielen zählen Twilio, Coinbase, DoorDash, Caesars, MailChimp, Riot Games und Reddit.
In jüngerer Zeit verlagerte die Gruppe ihren Fokus von Einzelhandel und Versicherungen auf die Luftfahrt- und Transportbranche.
Die internationale Strafverfolgung hat mehrere Mitglieder von Scattered Spider festgenommen: Im Juli 2024 nahm die britische Polizei einen 17-Jährigen fest, der am MGM Resorts-Angriff beteiligt gewesen sein soll. Im Dezember desselben Jahres folgte die Festnahme eines 19-jährigen US-Bürgers, der unter dem Online-Pseudonym „remi“ agierte. Er wird unter anderem beschuldigt, eine US-Finanzinstitution und zwei Telekommunikationsfirmen gehackt zu haben.
