In Spanien haben wohl die Handschellen geklickt. Verhaftet wurde der mutmaßliche Anführer der Hackergruppe Scattered Spider. Quellen geben an, dass es sich beim Verhafteten um den 22-jährigen Schotten Tyler Buchanan handelt. Die Hackergruppe erlangt 2023 durch Social Media- und Phishing-Angriffe und SIM-Swapping Bekanntheit und soll aus 19 bis 22 Jährigen männlichen Mitgliedern bestehen.
Anzeige
Was ist zu Scattered Spider bekannt?
Hier im Blog hatte ich die Hackergruppe Scattered Spider, die in Sicherheitskreisen auch unter dem Namen UNC3944 geführt wird, nicht thematisiert. Laut Wikipedia scheint die Gruppe möglicherweise im Mai 2022 gegründet worden zu sein, um Angriffe per SIM-Swapping auf Telekommunikationsunternehmen auszuführen. Dort wurden auch MFA-Fatigue-Angriffe und Phishing per SMS und Telegram verwendet.
Inzwischen ist die Gruppe aber wohl Teil einer einer größeren globalen Hackergemeinschaft, die als "the Community" oder "the Com" bekannt ist. Zudem scheinen sich die Mitglieder bei Hacks auch den Werkzeugen von Ransomware-as-a-service-Anbietern zu bedienen. Die Gruppe nutzte bei späteren Angriffen die Schwachstelle CVE-2015-2291 im Intel diagnostics driver for Windows aus. Es wird auch vermutet, dass die Gruppe Microsoft Azure sehr gut kennt und in der Lage ist, über Google Workspace und AWS legitim entwickelte Remote-Access-Tools für Angriffe auf Cloud-Instanzen einzusetzen.
Im September 2023 soll die Hackergruppe hauptsächlich aus Personen im Alter von 19 bis 22 Jahren bestanden haben. Bekannt wurde die Gruppe, so die Wikipedia, durch das Hacken von Caesars Entertainment und MGM Resorts International, zwei der größten Kasino- und Glücksspielunternehmen in den Vereinigten Staaten. Den MGM-Hack hatte ich im Blog-Beitrag MGM Resorts International Opfer eines Cyberangriffs: Spielcasinos, Webseiten und Dienste down angesprochen – wobei dort die Gruppe ALPHV/BlackCat genannt wurde.
Den Hack von Caesars Entertainment hatte ich nicht im Blog aufgegriffen. Laut Wikipedia sei von diesem Opfer aber eine Ransom-Zahlung von 15 Millionen US-Dollar an Scattered Spider geleistet worden. In der Wikipedia heißt es weiter, dass die Gruppe vorher dafür bekannt war, dass sie kritische Infrastrukturen angriff.
Anzeige
Und nein, es sind keine staatlichen Akteure mit riesigem Personalstand und großem Budget. Die obige Beschreibung zeigt, dass einige clevere junge Leute in der Lage sind, die Infrastruktur von Unternehmen anzugreifen und zu kompromittieren. Das Ganze erinnert mich an die Lapsus$-Gruppe, die ebenfalls aus jungen Leuten bestand (siehe Links am Artikelende).
Gruppenmitglied verhaftet
Spannend wird nun die Geschichte durch eine Meldung von Sicherheitsspezialist Brian Krebs, der über die Verhaftung eines 22 jährigen Briten durch die spanische Polizei berichtet. Es heißt, dass der Verhaftete mutmaßlich der Rädelsführer von Scattered Spider sei.
Die Gruppe an Cyberkriminellen wird verdächtigt, in den letzten zwei Jahren Twilio, LastPass, DoorDash, Mailchimp und fast 130 andere Unternehmen gehackt zu haben. Das Medium murciatoday.com hat einen Videobeitrag über die Verhaftung des Mannes auf dem Flughafen von Palma de Mallorca veröffentlicht. Der Verdächtige war Ende Mai 2024 über Madrid eingereist und gerade im Begriff nach Italien zu fliegen, konnte aber in Koordination zwischen FBI und spanischer Polizei festgesetzt werden. Es gibt wohl einen internationalen Haftbefehl eines Richters aus Los Angeles (USA).
Brian Krebs legt in diesem Artikel die Identität des verhafteten 22 jährigen Briten, der aus Schottland stammt und auf Telegram als "tyler" agierte, offen – andere Quellen geben den Namen ebenfalls an. Es gibt ein LinkedIn-Profil, was eine Person diesen Namens als Schüler der St. Mungos High School in Falkirk, Schottland, ausweist. Bereits im Januar 2024 haben US-Strafverfolger einen 19 Jährigen aus den USA als Mitglied der Gruppe verhaftet. Mehr Details finden Interessierte im verlinkten Artikel von Brian Krebs.
Ähnliche Artikel:
MGM Resorts International Opfer eines Cyberangriffs: Spielcasinos, Webseiten und Dienste down
Fahrdienstleister Uber untersucht einen Hack (Sept. 2022)
Rockstar Games Leck: Source-Code und viele Spielevideos nach Hack veröffentlicht
Nvidia-Hack: Daten und Source-Code offen gelegt, Zertifikate gestohlen
Ubisoft durch Lapsus$-Cyber-Gang gehackt (März 2022)
Samsung bestätigt Hack, Quellcodes durch Lapsus$ geleakt
Authentifizierungsdienst OKTA durch Lapsus$ gehackt?
Lapsus$ veröffentlicht angeblich Quellcode von Microsoft Azure, Bing und Cortana
Lapsus$-Hacks: Stellungnahmen von Okta und Microsoft
Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe?
7 Teenager im Zusammenhang mit den LAPSUS$-Hacks verhaftet
Okta gesteht "Lapsus" bezüglich Offenlegung beim "Lapsus$-Hack" ein
Lapsus$: Zwei britische Teenager wegen Hackens angeklagt
Chats zeigen: LAPSUS$ hatte wohl auch T-Mobile mehrfach gehackt
LAPSUS$ deckt Sicherheitslücken bei Tech-Unternehmen auf
17 Jähriger in England wegen Uber-Hack verhaftet, Mitglied der Lapsus$-Gruppe?
LAPSUS$-Hacks: Britisches Gericht spricht zwei Teenager schuldig
Lapsus$ Hacker (GTA6) vom Gericht auf unbestimmte Zeit in Klinik eingewiesen
Anzeige
Leider könnte man auch schreiben: Mutmasslicher Kopf von Scattered Spider abgehackt – 5 Köpfe wachsen nach.
(soll jetzt nicht heissen, dass ich es schlecht finde, dass der mutmassliche Kopf festgenommen wurde – ganz im Gegenteil, aber leider weiss man ja, wie's meistens weiter geht)
Was mich an der ganzen Geschichte wundert: Dass dies ein weiterer Fall ist, in dem ein Brite da ganz vorne mit mischt.
Die Infos im Artikel zu den Orten entsprechen nicht dem, was die spanische Polizei in der Beschreibung des Youtube-Videos aufgeschrieben hat. Den dortigen Angaben nach sitzt er (nach der Verhaftung auf Mallorca) in Madrid in Haft. Eingereist sein soll er über den Flughafen von Barcelona. Wie er von dort nach Mallorca kam, weiß ich natürlich nicht – möglicherweise mit der Fähre von Barcelona nach Palma?