Muttersprachliche englischsprachige Hacker riefen beim IT-Helpdesk des Zielunternehmens an und gaben sich als Mitarbeiter aus, um an die Login-Daten zu gelangen, die sie angeblich verloren hatten. Sie hatten alle Mitarbeiterinformationen, die sie brauchten, um überzeugend zu wirken. Und sobald sie sich Zugang verschafft hatten, fanden sie schnell einen Weg in die sensibelsten Ablagen des Unternehmens, um diese Daten zu stehlen und zu erpressen.

Ransomware-Angriffe sind nicht neu, aber diese Gruppe war außerordentlich geschickt im Social Engineering und in der Umgehung der Multi-Faktor-Authentifizierung, sagte Wendi Whitmore, Senior Vice President des Bedrohungsanalyse-Teams Unit 42 des Sicherheitsunternehmens Palo Alto Networks, das auf mehrere mit der Gruppe in Verbindung gebrachte Eindringlinge reagiert hat.

"Sie sind viel raffinierter als viele andere Cyberkriminelle. Sie scheinen bei ihren Angriffen diszipliniert und organisiert vorzugehen", sagte sie. "Und das ist etwas, was wir typischerweise häufiger bei nationalstaatlichen Akteuren sehen als bei Cyberkriminellen."

Die Hacker, die in der Sicherheitsbranche unter den Namen Scattered Spider, Muddled Libra und UNC3944 bekannt sind, wurden Anfang des Monats ins Rampenlicht gerückt, weil sie in die Systeme von zwei der größten Glücksspielunternehmen der Welt - MGM Resorts und Caesars Entertainment Ltd.

Laut Analysten, die die Angriffe verfolgen, sind hinter den Kulissen noch viele weitere Unternehmen betroffen - und Cybersecurity-Spezialisten erwarten, dass die Angriffe weitergehen werden.

Das FBI untersucht die Einbrüche bei MGM und Caesars, und die Unternehmen haben sich nicht dazu geäußert, wer dahinter stecken könnte.

Von Kanada bis Japan hat das Sicherheitsunternehmen CrowdStrike seit März 2022 weltweit 52 Angriffe der Gruppe verfolgt, die meisten davon in den Vereinigten Staaten, sagte Adam Meyers, Senior Vice President of Threat Intelligence bei dem Unternehmen. Der zu Google gehörende Nachrichtendienst Mandiant hat in den letzten zwei Jahren mehr als 100 Angriffe der Gruppe registriert.

Nahezu jede Branche, von der Telekommunikation über das Finanzwesen und das Gastgewerbe bis hin zu den Medien, war davon betroffen. Reuters war nicht in der Lage zu ermitteln, wie viel Geld die Hacker erpresst haben könnten.

Aber es ist nicht nur das Ausmaß oder die Breite der Angriffe, die diese Gruppe auszeichnen. Sie sind extrem gut in dem, was sie tun, und "rücksichtslos" im Umgang mit ihren Opfern, sagte Kevin Mandia, der Gründer von Mandiant.

Die Geschwindigkeit, mit der sie in die Systeme von Unternehmen eindringen und Daten exfiltrieren, kann Sicherheitsteams überfordern, und sie haben in der Vergangenheit Drohbriefe für Mitarbeiter von Opferorganisationen auf deren Systemen hinterlassen und sie per SMS und E-Mail kontaktiert, so Mandiant.

In einigen Fällen - Mandiant hat nicht gesagt, welche - haben Hacker, die mit Scattered Spider in Verbindung stehen, gefälschte Notrufe abgesetzt, um schwer bewaffnete Polizeieinheiten zu den Häusern von Führungskräften der Zielunternehmen zu rufen.

Diese Technik, SWATing genannt, "ist etwas, das man als Opfer nicht überleben kann", sagte er. "Ich glaube nicht einmal, dass es bei diesen Übergriffen um Geld geht. Ich glaube, es geht um Macht, Einfluss und Berühmtheit. Das macht es schwieriger, darauf zu reagieren."

Reuters konnte die Hackergruppe nicht sofort für einen Kommentar erreichen.

17-22 JÄHRIGE

Es gibt nur wenige Details über den Standort oder die Identität von Scattered Spider. Ausgehend von den Gesprächen der Kriminellen mit den Opfern und Hinweisen aus Untersuchungen von Sicherheitsverletzungen sagte Meyers von CrowdStrike, dass es sich größtenteils um 17-22-Jährige handelt. Mandiant schätzt, dass sie hauptsächlich aus westlichen Ländern stammen, aber es ist unklar, wie viele Personen daran beteiligt sind.

Bevor sie die Helpdesks anrufen, beschaffen sich die Hacker Mitarbeiterinformationen einschließlich Passwörtern durch Social Engineering, insbesondere durch "SIM-Swapping" - eine Technik, bei der sie den Kundenbetreuer eines Telekommunikationsunternehmens austricksen, damit er eine bestimmte Telefonnummer von einem Gerät auf ein anderes überträgt, so die Analysten.

Sie scheinen sich auch die Mühe zu machen, zu studieren, wie große Organisationen arbeiten, einschließlich ihrer Lieferanten und Auftragnehmer, um Personen mit privilegiertem Zugang zu finden, die sie ins Visier nehmen können, so die Analysten.

David Bradbury, Chief Security Officer des Identitätsmanagement-Unternehmens Okta, hat dies letzten Monat am eigenen Leib erfahren, als er entdeckte, dass mehrere Okta-Kunden - darunter MGM - von Scattered Spider angegriffen wurden. Okta bietet Identitätsdienste wie die Multi-Faktor-Authentifizierung an, die Benutzern einen sicheren Zugang zu Online-Anwendungen und Websites ermöglichen.

"Die Bedrohungsakteure haben eindeutig unsere Online-Kurse besucht, sie haben unser Produkt und seine Funktionsweise studiert", sagte Bradbury. "Das ist etwas, das wir noch nie gesehen haben.

Eine größere Gruppe namens ALPHV gab letzte Woche bekannt, dass sie hinter dem MGM-Hack steckt, und Analysten glauben, dass sie die Software und die Angriffswerkzeuge für die von Scattered Spider durchgeführte Operation bereitgestellt hat.

Solche Kooperationen sind typisch für Cyberkriminelle, sagte Bradbury von Okta. ALPHV, laut Mandiant ein "Ransomware-as-a-Service", würde Dienste wie einen Helpdesk, eine Webseite und ein Branding bereitstellen und im Gegenzug einen Anteil an den Einnahmen von Scattered Spider aus dem Hack erhalten.

Während viele Ransomware-Angriffe nicht publik gemacht werden, war der MGM-Hack ein anschauliches Beispiel für die realen Auswirkungen solcher Vorfälle. Er verursachte ein Chaos in Las Vegas, als die Spielautomaten ausfielen und die Hotelsysteme gestört wurden.

Ransomware-Banden funktionieren oft wie große Organisationen und entwickeln ihre Methoden ständig weiter, um sich an die neuesten Sicherheitsmaßnahmen der Unternehmen anzupassen.

"In gewisser Weise ist dies wie das uralte Katz- und Mausspiel", sagte Whitmore, der Scattered Spider mit Lapsus$ verglich, einer anderen Gruppe, die hinter früheren Hacks bei Okta und dem Technologieriesen Microsoft steckt. Die britische Polizei hat im letzten Jahr sieben Personen im Alter zwischen 16 und 21 Jahren nach diesen Hacks verhaftet.