MGM RESORTS INTERNATIONAL 
Seit mehr als sechs Monaten kennt das FBI die Identität von mindestens einem Dutzend Mitgliedern der Hackergruppe, die für die verheerenden Einbrüche bei den Kasinobetreibern MGM Resorts International und Caesars Entertainment im September verantwortlich ist, so vier mit den Ermittlungen vertraute Personen.
Führungskräfte aus der Branche sagten gegenüber Reuters, sie seien verblüfft über den offensichtlichen Mangel an Verhaftungen, obwohl viele der Hacker in Amerika ansässig sind.
"Ich würde mich freuen, wenn mir das jemand erklären könnte", sagte Michael Sentonas, Präsident von CrowdStrike, einer der Firmen, die die Reaktion auf die Hackerangriffe anführen.
"Dafür, dass es sich um eine so kleine Gruppe handelt, richten sie wirklich großen Schaden an", sagte Sentonas letzten Monat in einem Interview mit Reuters.
Sentonas sagte, die Hacker seien "bekannt", nannte aber keine Einzelheiten. Er sagte jedoch: "Ich denke, hier liegt ein Fehler vor. Auf die Frage, wer für das Versagen verantwortlich sei, antwortete Sentonas: "die Strafverfolgungsbehörden".
Das FBI hat erklärt, dass es die Hacks der Glücksspielunternehmen untersucht, aber ein Sprecher der Behörde lehnte es ab, sich zu der verantwortlichen größeren Gruppe oder dem Stand der Ermittlungen zu äußern. Ein Sprecher des Justizministeriums lehnte es ebenfalls ab, sich zu äußern.
Seit mehr als sechs Monaten kennt das FBI die Identität von mindestens einem Dutzend Mitgliedern der Hackergruppe, die für die verheerenden Einbrüche bei den Kasinobetreibern MGM Resorts International und Caesars Entertainment im September verantwortlich ist, so vier mit den Ermittlungen vertraute Personen.
Die von einigen Sicherheitsexperten als "Scattered Spider" bezeichnete Hackergruppe ist seit 2021 aktiv, geriet aber durch eine Reihe von Einbrüchen bei mehreren hochrangigen amerikanischen Unternehmen in die Schlagzeilen.
Der Einbruch bei MGM führte zu einer tagelangen Unterbrechung des Betriebs in den Casinos und Hotels des Unternehmens und kostete das Unternehmen rund 100 Millionen Dollar an Schaden, wie es in einem Bericht an die Aufsichtsbehörden im letzten Monat mitteilte. Nach einem Bericht des Wall Street Journal zahlte Caesars rund 15 Millionen Dollar Lösegeld, um den Hackern den Zugang zu seinen Systemen wieder zu ermöglichen.
Keines der beiden Unternehmen reagierte auf eine Anfrage nach einem Kommentar.
CrowdStrike, Alphabets Mandiant, Palo Alto Networks und Microsoft gehören zu den wichtigsten amerikanischen Cybersicherheitsfirmen, die auf die Hackerangriffe auf private Unternehmen reagieren. Einige von ihnen haben Beweise gesammelt, die zu den Identitäten der Hacker führen und unterstützen die Strafverfolgungsbehörden, so die fünf Insider.
Die Quellen sagen, dass die Ermittlungen des FBI nach den Casino-Hacks im September neue Dringlichkeit erlangten. Die FBI-Beamten begannen bereits vor mehr als einem Jahr, die Aktivitäten der Hacker zu untersuchen.
Sicherheitsanalysten, die die Hackerangriffe verfolgen, haben inzwischen eine Reihe von Opfern in fast allen Branchen ausfindig gemacht - angefangen bei Telekommunikations- und Outsourcing-Firmen bis hin zum Gesundheitswesen und Finanzdienstleistern.
Insgesamt sind seit Anfang letzten Jahres etwa 230 Organisationen betroffen, so eine Aufstellung des in Baltimore, Maryland, ansässigen Cybersicherheitsunternehmens ZeroFox, das Caesars bei der Eindämmung der Folgen geholfen hat.
Der Geschäftsführer von ZeroFox, James Foster, führt die schleppende Reaktion der Strafverfolgungsbehörden auf einen Mangel an Arbeitskräften zurück. In den letzten Jahren wurde in zahlreichen Presseberichten darauf hingewiesen, dass die Behörde viele ihrer besten Cyber-Agenten an den privaten Sektor verliert, der ihnen höhere Gehälter bietet.
"Die Strafverfolgungsbehörden, zumindest auf Bundesebene, haben alle Werkzeuge und Ressourcen, die sie brauchen, um erfolgreich gegen Cyberkriminelle vorzugehen", sagte Foster. "Sie haben nur nicht genug Leute."
Eine weitere Herausforderung besteht darin, dass viele Opfer zögern, mit dem FBI zusammenzuarbeiten. Eine der Quellen, eine Führungskraft, die an der Verteidigung gegen die Hacker beteiligt war und die es ablehnte, unter Berufung auf die Vertraulichkeit ihrer Kunden namentlich genannt zu werden, sagte, dass "mehrere" Opferunternehmen das FBI nie darüber informiert haben, dass sie kompromittiert wurden - was bedeutet, dass die Staatsanwälte die Chance verloren haben, potenziell wichtige Beweise zu erhalten.
Dieser Instinkt, ein Eindringen zu verbergen, ist nicht ungewöhnlich, sagte ein ehemaliger FBI-Beamter, der um Anonymität bat und früher an Ransomware-Ermittlungen arbeitete, gegenüber Reuters.
"Bei meiner Arbeit an Ransomware-Ermittlungen habe ich festgestellt, dass die Unternehmen in neun von zehn Fällen nicht kooperieren wollten", sagte der Ex-Beamte.
Eine dritte Herausforderung war die lockere Struktur der Gruppe, die aus kleinen Gruppen von Einzelpersonen besteht, die bei bestimmten Aufgaben immer wieder zusammenarbeiten. Die undurchsichtige Struktur der Bande hat ihr den Spitznamen "Scattered" eingebracht, ebenso wie den Spitznamen "Muddled Libra" unter Forschern.
Zwei Analysten zufolge nennt sich die Crew hinter dem Casino-Job beispielsweise "Star Fraud". Sie ist Teil eines größeren Hackerkollektivs, das sich aus meist jungen Cyberkriminellen zusammensetzt, die den Namen "The Com" als Slang für ihre Gemeinschaft verwenden.
Die meisten Mitglieder der Gruppe sind in westlichen Ländern ansässig, darunter auch in den Vereinigten Staaten, so Cybersecurity-Unternehmen. In der Regel besprechen sie ihre Hacking-Projekte in gemeinsamen Chat-Kanälen auf sozialen Messaging-Apps, insbesondere Telegram und Discord, das bei Gamern beliebt ist.
Ein Sprecher von Telegram reagierte nicht auf eine Anfrage nach einem Kommentar zu den Hackern. Ein Sprecher von Discord lehnte eine Stellungnahme ab, sagte aber, dass die Plattform illegale Aktivitäten unterbindet und Maßnahmen ergreift, wie z.B. das Verbot oder die Schließung von Gruppen oder Nutzern, die sich an solchen Praktiken beteiligen.
In der Vergangenheit war es für das FBI aufgrund der amorphen Form der Gruppe schwierig, sich intern mit den vielen Außenstellen im ganzen Land abzustimmen, sagten drei mit der Angelegenheit vertraute Personen. Monatelang untersuchten zahlreiche Außenstellen unabhängig voneinander einzelne Hacks, die von derselben Gruppe initiiert worden waren, waren sich aber nicht sofort über ihre Verbindung bewusst, was den Prozess verzögerte.
Vor kurzem hat die FBI-Außenstelle in Newark, New Jersey, die Ermittlungen gegen die Hackergruppe übernommen und macht Fortschritte, so die drei Personen, die keine Einzelheiten nannten. Sie fügten hinzu, dass dem Fall ein neuer Special Agent zugewiesen wurde.
In den letzten Monaten sind alarmierende Details über die aggressive Taktik von The Coms an die Öffentlichkeit gelangt. Ihre Mitglieder sind an einer Reihe von illegalen Machenschaften beteiligt, von Sextortion und Ransomware bis hin zu Telefonbetrug und der Bezahlung von Menschen für physische Gewalt - auch bekannt als "Gewalt-als-Service".
In einem Bericht, der Ende letzten Monats von Microsoft veröffentlicht wurde, zitiert das Technologieunternehmen Hacker, die mit Scattered Spider in Verbindung stehen, mit der Tötung von Mitarbeitern einer Opferorganisation gedroht zu haben, falls diese nicht ihre Passwörter herausgeben würden.
"Wenn wir Ihr Login nicht innerhalb der nächsten 20 Minuten bekommen, schicken wir einen Schützen zu Ihrem Haus (sic)", hieß es in einer der Nachrichten. Eine andere folgte mit den Worten: "Ihre Frau wird erschossen, wenn Sie nicht einknicken."
Die Versuche von Reuters, die Hacker für diese Geschichte zu kontaktieren, waren nicht erfolgreich.
"Ich glaube, sie sind pathologisch", sagte Kevin Mandia, der Gründer von Mandiant, in einem Interview im September. "Wir haben gesehen, wie sie mit den Opferunternehmen umgehen. Sie sind rücksichtslos."
Mandia antwortete nicht direkt auf die Frage, ob die Identität von Scattered Spider den Strafverfolgungsbehörden bekannt war. Aber er sagte, dass es keine Entschuldigung dafür gebe, Hacker, die vom Westen aus operieren, nicht zu verhaften.
"Wenn sie sich in demokratischen Ländern befinden, die mit der internationalen Gemeinschaft zusammenarbeiten, muss man sie fangen", sagte er. (Berichte von Zeba Siddiqui in San Francisco und Raphael Satter und Christopher Bing in Washington; Bearbeitung durch Chris Sanders und Claudia Parsons)
