Scattered Spider spielt eine grundlegende Rolle bei der Durchführung der Angriffe

Die Cybersecurity-Analysten von Check Point® Software Technologies Ltd. (NASDAQ: CHKP) haben neue Einblicke in die Aktivitäten der Hackergruppe Scattered Spider gewonnen. Die Gruppe steht im Verdacht, eine Schlüsselrolle bei einer Reihe von Cyberangriffen auf britische Einzelhändler im April und Mai 2025 gespielt zu haben – und zwar im Umfeld des Ransomware-Kartells DragonForce .

Während DragonForce sich öffentlich zu Erpressung und Datenabflüssen bekannt hat, deuten viele Spuren darauf hin, dass Scattered Spider für den ersten Zugriff auf die Systeme verantwortlich war. Damit könnte sich die Gruppe zu einem strategisch wichtigen Partner oder Zugangsanbieter (Access Broker) innerhalb des sogenannten Affiliate-Modells von DragonForce entwickelt haben – ein Modell, das auf arbeitsteilige Zusammenarbeit zwischen Cyberkriminellen setzt.

Scattered Spider: Wandlungsfähig und gefährlich

Scattered Spider – auch bekannt unter den Namen Roasting 0ktapus und Scatter Swine – ist seit Mai 2022 aktiv und verfolgt klar finanzielle Ziele. Anfangs richtete sich ihr Fokus auf Telekommunikationsunternehmen und BPO-Dienstleister (Business Process Outsourcing). Inzwischen nehmen sie verstärkt kritische Infrastrukturen und bedeutende Wirtschaftssektoren ins Visier.

Besonders auffällig ist ihre Vorliebe für ausgefeilte Social-Engineering-Methoden. Die Gruppe gibt sich häufig als IT-Mitarbeiter aus, versendet Phishing-Nachrichten via SMS oder Telegram und nutzt Multi-Faktor-Authentifizierungs-Müdigkeit (MFA Fatigue), um Nutzer zur Preisgabe von Zugangsdaten zu bewegen. So verschafft sie sich tiefgreifenden Zugang zu Systemen, oft mit gravierenden Folgen.

Kollaboration mit DragonForce – oder Teil eines größeren Kartells?

Scattered Spider selbst hat sich nicht zu den jüngsten Angriffen bekannt. Doch die eingesetzten Techniken – darunter Cloud-basierte Schleusermethoden und präzise Social-Engineering-Angriffe – ähneln früheren Angriffsmustern der Gruppe. Das spricht stark dafür, dass sie an der Vorbereitungsphase der Angriffe beteiligt war, bevor DragonForce mit der Erpressung begann.

Das Vorgehen legt nahe, dass wir es mit einem gut abgestimmten Kartell zu tun haben, in dem sich unterschiedliche Cybercrime-Akteure lose zusammenschließen, um gemeinsam größere Ziele zu erreichen. Dabei nutzen sie oft sogenannte White-Label-Infrastrukturen – also technische Werkzeuge und Dienste ohne feste Zuordnung zu einem einzelnen Akteur.

Ein eingespieltes Arsenal an Tools und Taktiken

Scattered Spider setzt bei seinen Angriffen auf eine Mischung aus bekannten Schwachstellen und cleveren Werkzeugen, darunter:

• POORTRY: Ein bösartiger Treiber, der Sicherheitslösungen gezielt ausschaltet.
• STONESTOP: Ein Windows-Dienstprogramm, das POORTRY lädt und steuert.
• Cloud-Kompetenz: Die Gruppe kennt sich bestens mit Microsoft Azure, Google Workspace und AWS aus und nutzt legitime Tools wie AnyDesk oder LogMeIn, um sich dauerhaft Zugang zu Systemen zu sichern.

Ein Beispiel: Im August 2022 kompromittierte die Gruppe ein US-Kommunikationsunternehmen und stahl Daten von über 160 Kunden – darunter SMS mit Einmalpasswörtern. Im Dezember desselben Jahres zielte eine Kampagne gezielt auf Mobilfunkanbieter und deren Netzwerke.

Immer raffiniertere Angriffe

Die Angriffe von Scattered Spider sind kein Zufallsprodukt – sie folgen klaren Mustern. Meist beginnt es mit dem Sammeln von Telefonnummern, gefolgt von Phishing-Kampagnen, dem Einsatz von Remote-Tools, der Umgehung von MFA und dem SIM-Swapping. Ziel ist es, sich tief in die Systeme der Opfer einzugraben und ihre digitale Infrastruktur zu kontrollieren.

Beispielhafte Angriffsverläufe zeigen den methodischen Aufbau – von der Identitätsübernahme bis zur finalen Datenexfiltration mithilfe von Cloud-Diensten wie MEGAsync oder Dropbox. Auch aggressives Vorgehen gegenüber Opfern, etwa mit Drohungen oder Verhandlungstaktiken, gehört mittlerweile zur Routine.

Schema eines kürzlich erfolgten Angriffs:

• Sammeln von Mobiltelefonnummern von Mitarbeitern aus kommerziell verfügbaren Datenaggregationsdiensten.
• Phishing-Angriffe auf bestimmte Mitarbeiter, einschließlich Smishing und Voice Phishing.
• Anmeldedaten über gezielte Phishing-Seiten erlangen.
• Weiterleitung von Einmalpasswörtern (OTP) über Phishing-Seiten.
• Verteilung des kommerziellen RMM-Tools AnyDesk.
• Verwendung von anonymisierenden Proxy-Diensten.
• Übernahme von Benutzerkonten.
• Durchführung weiterer Smishing-Angriffe gegen Personen aus dem Technologie-/Telekommunikationsbereich mit Verbindungen zu Krypto-Währungen.

Bekannte Schwachstellen gezielt ausgenutzt

Scattered Spider nutzt bekannte Sicherheitslücken, darunter:

• CVE-2015-2291: Eine Schwachstelle im Intel-Ethernet-Diagnosetreiber, über die Kernel-Zugriffe möglich sind.
• CVE-2021-35464: Eine Lücke im ForgeRock-Server, die zur Remote-Codeausführung missbraucht wird.

Beide Schwachstellen erlaubten es der Gruppe, privilegierten Zugriff zu erhalten – etwa auf AWS-Instanzen oder Systemdienste – und diesen für weiterführende Angriffe zu nutzen.