Engelssprekende hackers belden de helpdesk van de informatietechnologie van een doelwitbedrijf, deden zich voor als een werknemer en vroegen om inloggegevens door te doen alsof ze die van hen waren kwijtgeraakt. Ze hadden alle werknemersinformatie die nodig was om overtuigend over te komen. En zodra ze toegang hadden, vonden ze snel hun weg naar de meest gevoelige opslagplaatsen van het bedrijf om die gegevens te stelen voor afpersing.

Ransomware-aanvallen zijn niet nieuw, maar deze groep was buitengewoon bedreven in social engineering en het omzeilen van multi-factor authenticatie, aldus Wendi Whitmore, senior vice president van het Unit 42 threat intelligence-team van beveiligingsbedrijf Palo Alto Networks, dat heeft gereageerd op verschillende inbraken in verband met de groep.

"Ze zijn veel geraffineerder dan veel cybercriminele actoren. Ze lijken gedisciplineerd en georganiseerd te zijn in hun aanvallen," zei ze. "En dat is iets wat we meestal vaker zien bij actoren van nationale staten, in plaats van cybercriminelen."

Deze hackers, die in de beveiligingsbranche bekend staan als Scattered Spider, Muddled Libra en UNC3944, kwamen eerder deze maand in de schijnwerpers te staan omdat ze de systemen van twee van 's werelds grootste gokbedrijven - MGM Resorts en Caesars Entertainment Ltd. - hadden gekraakt.

Achter de schermen hebben ze volgens analisten die de inbraken volgen nog veel meer bedrijven getroffen - en cyberbeveiligingsspecialisten verwachten dat de aanvallen zullen doorgaan.

De FBI onderzoekt de inbraken bij MGM en Caesars, en de bedrijven gaven geen commentaar over wie erachter zou kunnen zitten.

Van Canada tot Japan heeft het beveiligingsbedrijf CrowdStrike sinds maart 2022 wereldwijd 52 aanvallen van de groep getraceerd, waarvan de meeste in de Verenigde Staten, aldus Adam Meyers, senior vice president van threat intelligence bij het bedrijf. Inlichtingendienst Mandiant, eigendom van Google, heeft de afgelopen twee jaar meer dan 100 inbraken door de groep gelogd.

Bijna elke branche, van telecommunicatie tot financiën, horeca en media, is getroffen. Reuters kon niet vaststellen hoeveel geld de hackers mogelijk hebben afgeperst.

Maar het is niet alleen de schaal of de breedte van de aanvallen waardoor deze groep opvalt. Ze zijn extreem goed in wat ze doen en "meedogenloos" in hun interacties met slachtoffers, aldus Kevin Mandia, de oprichter van Mandiant.

De snelheid waarmee ze inbreken en gegevens exfiltreren uit bedrijfssystemen kan beveiligingsteams overweldigen, en ze hebben dreigbriefjes achtergelaten op de systemen van medewerkers van slachtofferorganisaties en hebben in het verleden per sms en e-mail contact met hen opgenomen, aldus Mandiant.

In sommige gevallen - Mandia zei niet welke - plaatsten hackers die gelieerd waren aan Scattered Spider valse noodoproepen om zwaarbewapende politie-eenheden op te roepen naar de huizen van directieleden van bedrijven die het doelwit waren.

Deze techniek, die SWATing wordt genoemd, "is iets vreselijks om als slachtoffer mee te maken," zei hij. "Ik denk niet eens dat deze inbraken over geld gaan. Ik denk dat het gaat om macht, invloed en bekendheid. Dat maakt het moeilijker om erop te reageren.

Reuters kon de hackersgroep niet meteen bereiken voor commentaar.

17-22 JARIGEN

Er zijn weinig details over de locatie of identiteit van Scattered Spider. Op basis van gesprekken van de criminelen met slachtoffers en aanwijzingen uit onderzoeken naar inbraken, zegt Meyers van CrowdStrike dat ze grotendeels 17-22 jaar oud zijn. Mandiant schat dat ze voornamelijk uit Westerse landen komen, maar het is onduidelijk om hoeveel mensen het gaat.

Voordat ze helpdesks bellen, verkrijgen de hackers informatie over werknemers, waaronder wachtwoorden, door middel van social engineering, met name 'SIM-swapping' - een techniek waarbij ze de medewerker van de klantenservice van een telecombedrijf zover krijgen dat hij of zij een specifiek telefoonnummer van het ene apparaat naar het andere doorschuift, aldus analisten.

Ze lijken ook moeite te doen om te bestuderen hoe grote organisaties werken, inclusief hun leveranciers en aannemers, om personen met bevoorrechte toegang te vinden die ze als doelwit kunnen gebruiken, aldus analisten.

Dat is iets wat David Bradbury, chief security officer van het identiteitsbeheerbedrijf Okta, vorige maand aan den lijve ondervond, toen hij ontdekte dat meerdere Okta-klanten - waaronder MGM - waren geschonden door Scattered Spider. Okta levert identiteitsdiensten zoals multi-factor authenticatie die worden gebruikt om gebruikers veilig toegang te geven tot online applicaties en websites.

"De bedreigingsactoren hebben duidelijk onze online cursussen gevolgd, ze hebben duidelijk ons product bestudeerd en hoe het werkt," zei Bradbury. "Dit zijn dingen die we nog niet eerder hebben gezien."

Een grotere groep met de naam ALPHV zei vorige week achter de MGM-hack te zitten en analisten denken dat deze groep de software en aanvalsgereedschappen heeft geleverd voor de operatie die door Scattered Spider werd uitgevoerd.

Dergelijke samenwerkingen zijn typisch voor cybercriminelen, aldus Bradbury van Okta. ALPHV, dat volgens Mandiant een "ransomware-as-a-service" is, zou diensten leveren zoals een helpdesk, webpagina en branding, en op zijn beurt een deel krijgen van wat Scattered Spider zou verdienen aan de hack.

Hoewel veel ransomware-aanvallen niet in de publiciteit komen, was de MGM hack een levendig voorbeeld van de werkelijke impact van dergelijke incidenten. Het veroorzaakte chaos in Las Vegas, waar gokmachines uitvielen en hotelsystemen werden verstoord.

Ransomwarebendes functioneren vaak als grote organisaties en blijven hun methodes ontwikkelen om zich aan te passen aan de nieuwste beveiligingsmaatregelen die organisaties gebruiken.

"In sommige opzichten is dit net het eeuwenoude kat-en-muisspel," zei Whitmore, die Scattered Spider vergeleek met Lapsus$, een andere groep die achter eerdere inbraken in Okta en de technologiegigant Microsoft zat. De Britse politie arresteerde vorig jaar zeven mensen tussen de 16 en 21 jaar na die hacks.