Eine Gruppe von jungen Kriminellen greift seit Wochen Konzerne an. Jetzt gab es Verhaftungen. Doch die Cyberangriffe werden vermutlich weitergehen.
Opfer eines Cyberangriffs von «Scattered Spider»: Flugzeuge von Hawaiian Airlines in Honolulu.
Die Bande hielt in den vergangenen Wochen die IT-Experten auf Trab. «Scattered Spider», wie sich die Gruppe nennt, ist verantwortlich für eine Serie von aufsehenerregenden Cyberangriffen. Anfang Mai sorgte die kriminelle Vereinigung für leere Regale in britischen Supermärkten. Der Detailhändler Marks & Spencer musste seinen Onlinehandel für sieben Wochen einstellen. Der Gewinnausfall: 300 Millionen Pfund b.
Die gleiche Hackergruppe setzte kurz danach mehreren Versicherungskonzernen in den USA zu. Ihr jüngstes Opfer sind Fluggesellschaften. Erst drangen die Hacker in die Systeme von Hawaiian Airlines und Westjet, dann vor wenigen Tagen in die von Australian Airlines. Dort entwendeten sie die Daten von sechs Millionen Kunden, Namen, Geburtstage, E-Mails und Telefonnummern und Vielfliegernummern.
Nun ist der britischen Polizei ein Erfolg gelungen. Sie hat am Donnerstag vier mutmassliche Mitglieder von «Scattered Spider» festgenommen. Sie sollen in die Cyberangriffe auf drei britische Detailhändler vor zwei Monaten verwickelt sein. Was auffällt, ist das junge Alter der Verhafteten: Es handelt sich um einen 17-Jährigen, zwei Männer von 19 Jahren und eine 20-jährige Frau.
Bereits im vergangenen Jahr kam es zu Verhaftungen und fünf Anklagen in den USA. Die Beschuldigten waren damals zwischen 20 und 25 Jahre alt und stammten aus den USA. In den Medien war aufgrund des Alters von «Gen Z»-Hackern die Rede; viele von ihnen lernten sich offenbar in Gaming-Foren kennen. Neben dem jungen Alter ist bemerkenswert, dass die identifizierten Mitglieder von «Scattered Spider» nicht aus Osteuropa oder Russland stammen, sondern aus westlichen Ländern, vornehmlich den USA und Grossbritannien.
Verbrecherring könnte aus bis zu tausend Personen bestehen
Ob die jüngsten Verhaftungen die kriminelle Bande nachhaltig schädigen werden, ist unklar. «Scattered Spider» besteht laut Analysen der Sicherheitsfirmen Crowdstrike und Halcyon aus etwa vier Kernmitgliedern, welche als Projektmanager wirken. Diese Personen würden die potenziellen Opfer auswählen und die weiteren Beteiligten oder ganze Gruppen koordinieren. Insgesamt könnten dem Verbrecherring bis zu tausend Personen angehören, sagte ein FBI-Vertreter vergangenes Jahr.
«Scattered Spider» ist so gesehen wie ein Unternehmen aufgebaut, das mit temporären Mitarbeitern in zahlreichen Ländern zusammenarbeitet. Zudem bezieht die Bande kriminelle Dienstleistungen von anderen Gruppen, die zum Beispiel auf das Eindringen in IT-Systeme, auf das Verschlüsseln der Computer oder auf die Erpressung spezialisiert sind.
Nicht alle Angriffe scheinen nach dem gleichen Schema abzulaufen. Damit unterscheidet sich «Scattered Spider» von reinen Ransomware-Gruppen, die in IT-Netzwerke eindringen, Daten entwenden, die Systeme verschlüsseln, um dann Geld zu fordern. «Scattered Spider» verschlüsselt nicht in jedem Fall die Daten. Sie hat dazu auch keine eigene Schadsoftware, Ransomware genannt, entwickelt. Die Gruppe verwendet stattdessen verschiedene Arten von Erpressungs-Software und ist dann also selbst der Geschäftspartner der Ransomware-Gruppen.
«Scattered Spider» ruft den Helpdesk der Firma an
Das Bemerkenswerte an «Scattered Spider» ist, dass sie sich Zugang in die Systeme ihrer Opfer verschafft, indem sie die Mitarbeiter manipuliert. «Sie setzen ganz auf menschliches Verhalten», sagte Ferhat Dikbiyik von der Cybersecurity-Firma Black Kite gegenüber dem «Wall Street Journal». «Sie werden lieber durch die Tür hereingelassen, statt einzubrechen.»
Social Engineering nennt sich dieses Vorgehen: Die Hacker rufen etwa beim IT-Helpdesk eines Konzerns an und geben sich als ein Mitarbeiter aus, der sich aus dem eigenen E-Mail-Konto gesperrt hat. Danach fangen sie mit einer Methode namens SIM-Swapping die Textnachrichten ab, die der Mitarbeiter im Zuge der Multifaktorauthentifizierung zugeschickt bekommt. So gelangen sie in die IT-Systeme, um dort Daten zu stehlen oder Ransomware zu installieren.
Die gleichen sieben Stimmen hätten in den vergangenen Monaten verschiedene Helpdesks angerufen, berichten Cybersicherheitsexperten, die mit dem Vorgehen von «Scattered Spider» vertraut sind.
Gruppe ist bereits seit Jahren aktiv
Die Hackergruppe machte erstmals 2023 auf sich aufmerksam, als sie erfolgreich verschiedene Kasinos in Las Vegas hackten. Damals richteten sie unter anderem bei dem Kasinobetreiber MGM Resorts International grossen Schaden an: Mehrere Tage lang waren Spielautomaten lahmgelegt, und digitale Zimmerschlüssel funktionierten nicht mehr. Der Schaden belief sich auf etwa 100 Millionen Dollar.
Im vergangenen Jahr war die Gruppe weniger aktiv, möglicherweise wegen des Drucks der Ermittler. Doch in diesem Frühjahr ist «Scattered Spider» mit voller Kraft zurückgekommen. Bis heute gingen die Kriminellen von «Scattered Spider» weitgehend gleich vor, sagte Adam Meyers von Crowdstrike gegenüber «Wired». «Sobald sie ein Unternehmen gefunden haben, in das sie erfolgreich eindringen können, fragen sie sich: ‹Wer sind ihre Konkurrenten, wen können wir uns sonst noch vornehmen?›» Danach zögen sie weiter zum nächsten Sektor. Bisher mit Erfolg.
