< Zurück
Bedrohungswarnung

Ontinue-Bedrohungswarnung: ScatteredLAPSUS$ / Scattered Spider Tactics

Die Bedrohung

Eine neue Welle von Angriffen durch Gruppen wie VerstreutLAPSUS$ und Verstreute Spinne stellt den Identitätsprozess in den Mittelpunkt der Bedrohungslandschaft.

Diese Akteure verlassen sich nicht auf hochentwickelte Malware oder Zero-Day-Exploits. Stattdessen nutzen sie Menschen und Prozesse – Ausrichtung auf Service Desks und Identitäts-Workflows, um:

  • Anmeldeinformationen abrufen
  • MFA umgehen
  • Eskalieren Sie zu privilegierten Konten

Dieser Ansatz hat bereits in mehreren Branchen zu Störungen geführt, darunter verheerende, viel beachtete Angriffe auf den Einzelhandel im Vereinigten Königreich.

  • Marks & Spencer (April 2025): Online-Bestellungen, Click-and-Collect-Dienste und Zahlungen im Laden wurden unterbrochen. Die Kontaktdaten und Bestellhistorien der Kunden wurden offengelegt, Zahlungskarten und Passwörter jedoch nicht. Der Vorfall führte sowohl zu betrieblichen als auch zu finanziellen Störungen.
  • Harrods (Ende April/Anfang Mai 2025): Ein Einbruchsversuch wurde entdeckt und abgewehrt, indem interne Systeme eingeschränkt und die Internetverbindung in den Filialen vorübergehend deaktiviert wurden. Die verwendeten Methoden ähneln stark anderen ScatteredLAPSUS$/Spider-Kampagnen.

Warum das wichtig ist

Diese Vorfälle zeigen, dass Identitäts- und Support-Workflows bevorzugte Angriffsflächen sind.

  • Service-Desk-Teams werden direkt mit Telefonanrufen und Identitätsbetrug angegriffen.
  • Angreifer geben sich oft als hochrangige Ziele aus – Führungskräfte, Administratoren oder Sicherheitspersonal –, um Helpdesks davon zu überzeugen, Anmeldedaten zurückzusetzen oder neue MFA-Faktoren hinzuzufügen.
  • Auch ohne direkten Diebstahl von Zahlungskartendaten waren die Auswirkungen auf das Geschäft schwerwiegend: Offenlegung von Kundendaten, Ausfälle bei Zahlungen und Lieferungen sowie Rufschädigung.

Ontinue Empfehlungen

Wir empfehlen allen Kunden, in drei Bereichen unverzüglich zu handeln:

1. Schützen Sie hochwertige Ziele

  • Führen Sie eine Liste mit “Nicht berühren”-Anweisungen für Führungskräfte, IT-Administratoren und Sicherheitspersonal.
  • Für diese Konten sind Richtlinien zum Zurücksetzen nur bei Eskalation durchzusetzen – keine Änderungen auf L1-Ebene

2. Verifizierungsprozesse verschärfen

  • Schwache, wissensbasierte Prüfungen (Mitarbeiter-ID, Standort, Geburtsdaten) außer Kraft setzen.
  • Erfordern Sie eine Out-of-Band-Verifizierung, wie z. B.:
    • Rückruf über eine Firmennummer Token an die Unternehmens-E-Mail-Adresse gesendet
    • Slack/Teams-Bestätigungsnachricht

3. Schaffen Sie eine Verifizierungskultur innerhalb Ihrer IR-Strategie

  • Das Personal schulen, um Eingehende IT-Anrufe unabhängig überprüfen bevor Sie irgendwelche Maßnahmen ergreifen
  • Standardisieren Sie Arbeitsabläufe, die die Überprüfung einfach und wiederholbar machen.
  • Entwickeln und testen Sie einen formellen Notfallplan für Angriffe im Stil von „Scattered Spider“. (z. B. schnelle Sperrung kompromittierter Konten, Verschärfung der Richtlinien für das Zurücksetzen von Passwörtern und Out-of-Band-Warnmeldungen an die Sicherheitsverantwortlichen)
  • Führen Sie regelmäßig Tabletop-Übungen durch. um sicherzustellen, dass Service Desk- und Sicherheitsteams Social-Engineering-Angriffe schnell erkennen, unterbinden und die Folgen beheben können

Das Fazit

Wenn Angreifer sich an Ihrem Service Desk vorbeireden können, brauchen sie keine Malware. Die Stärkung von Identitäts- und Support-Workflows ist eine der wertvollsten Investitionen, die Unternehmen gegen Gruppen wie ScatteredLAPSUS$ und Scattered Spider tätigen können.

Ontinue empfiehlt eine sofortige Überprüfung und Stärkung der Service-Desk-Prozesse und Eskalationskontrollen, um diese Lücke zu schließen.

Teilen