Inside Scattered Spider (alias Sp1d3rhunters): Die schattenhafte Gruppe hinter dem Cybervorfall bei Jaguar Land Rover

Dieser Beitrag ist der zweite in unserer Serie über den Cybervorfall bei Jaguar Land Rover. Den ersten Teil können Sie hier lesen.

Das Auftauchen von Scattered Spider, auch bekannt als Sp1d3rhunters oder Shiny Hunters, der Gruppe, die die Verantwortung für den Cybervorfall bei Jaguar Land Rover beansprucht, signalisiert einen neuen evolutionären Sprung im globalen TTP-Landschaft von Bedrohungsakteuren. Was sie von anderen unterscheidet, ist ihr sorgfältig ausgearbeiteter Modus Operandi, der drei potente Zutaten für sofortige Berühmtheit im Cyberspace kombiniert: Kundendaten, große Marken und ein einzigartiges Einnahmen- und Betriebsmodell, um Opfer anzugreifen.

Für ungeübte Augen mag Scattered Spider wie ein weiterer Bedrohungsakteur erscheinen, der Lösegeld einfordert. Wenn Sie jedoch an der Oberfläche kratzen, werden Sie betriebliche Schichten entdecken, die unmissverständlich auf ein höheres Maß an Evolution sowohl in Bezug auf TTPs als auch auf Nachdrucktaktiken nach dem Vorfall hinweisen. Lassen Sie uns jetzt die Gruppe im Detail verstehen, um zu begreifen, warum sich der Vorfall bei Jaguar Land Rover als so langwierig erweist.  

Diese Gruppe tauchte im Jahr 2020 durch eine Reihe von globalen Sicherheitsverletzungen auf. Wir haben Gründe zu glauben, dass die Gruppe von ehemaligen Mitgliedern von ALPHV und RansomHub gegründet wurde. Die Gruppe wurde möglicherweise von einer dieser Gruppen inkubiert und erhielt in den Anfangsstadien gestohlene Daten und Zugangsdaten, um Zielnetzwerke zu kompromittieren. Mit einem Best-of-Breed-Ansatz erreichte Scattered Spider schnell Eigenleben, und als die Einnahmenzählwerke zu summen begannen, begann die Gruppe, ihrem Geschäftsmodell mehr Aufmerksamkeit zu schenken.

Zwischen 2021 und 2023 durchlief die Gruppe eine Reihe von Führungswechseln, wobei das Durchschnittsalter der Führung um fast ein Jahrzehnt sank. In diesem Zeitraum traten mehrere neue Personen in die Gruppen ein, während die Älteren ausschieden. Die Neulinge passten sich ziemlich schnell an und setzten die Unterstützung der Operationen fort, wie aus der Liste der erfolgreichen Verbrechen hervorgeht, die Scattered Spider selbst während der Übergangszeit beging.

Sogar für die raffiniertesten Bedrohungsakteure dreht sich alles um das rasche Einkassieren von Lösegeld, gefolgt von einem Verschwinden in den Schatten. ShinyHunters bildet eine Ausnahme von diesem Trend. Scattered Spider hat nicht nur viele Modelle entwickelt, um Einnahmen für seine Operationen aufrechtzuerhalten, sondern betreibt auch einen der reifsten Ransomware-as-a-Service-Betriebe mit mehreren affiliate-freundlichen Einnahmenbeteiligungsmodellen. Kein Wunder, dass sich die Basis seiner Affiliates in den letzten zwei Jahren um satte 700 Prozent vergrößert hat.

Sie gehören leicht zu den kooperativsten und engagiertesten Cybercrime-Gruppen. Dank einer dynamischen Führungsstruktur mit tiefen Verbindungen zu mehreren etablierten Bedrohungsakteuren betreibt ShinyHunters viele aktive Cybercrime-Projekte mit Gruppen weltweit. Heute wird eine große Anzahl der über 400 der Gruppe zugeschriebenen Cybervorfälle von Affiliates im Rahmen des Einnahmenbeteiligungsmodells ausgeführt.

Zielgruppen große Marken

Scattered Spider hatte von Beginn an große Marken im Visier, zusätzlich zur Suche nach Publizität für seine Handlungen. In den Anfangsphasen waren die Ziele eine Mischung aus großen und kleinen Marken, die offensichtlich wegen der Einnahmen ausgewählt wurden. Zoosk, Home Chef, Minted, Chatbooks und die Chronicle of Higher Education, Tokopedia und Wattpad gehörten zu den frühen Opfern.

In den folgenden Jahren, als sich die neue Führung etablierte, baute die Gruppe ihre Operationen aus, um viele kleine und mittelständische Unternehmen ins Visier zu nehmen, die Lösegeld stillschweigend zahlten, aus Angst vor regulatorischer Aufmerksamkeit oder Investorenaufsicht.

Im Jahr 2024 ging die Gruppe gegen AT&T, Twillo und Ticketmaster vor, unter anderem große Marken, wobei sie Vertrauen und ein unstillbares Verlangen nach Publizität sammelte. Als das Jahr 2025 begann, war die Gruppe gewachsen, und ihre Affiliates breiteten ihre Tentakeln über das Internet aus und erfassten mehrere große Marken, darunter:

· Google: Über ein Drittanbieter-CRM-Umfeld kompromittiert und Geschäftskundendaten offengelegt.

· Kering (Gucci, Balenciaga, Alexander McQueen): Kundendaten der Luxusmodegruppe wurden kompromittiert.

· LVMH (Louis Vuitton, Dior, Tiffany & Co.): Zugriff auf eine Kundeninformationsdatenbank erlangt

· Air France-KLM: Kundendienstdaten, einschließlich Namen und Informationen zu Treueprogrammen, wurden abgerufen.

· Adidas: Kundenservice-Tickets sollen gestohlen worden sein.

· Chanel: Eine Kundendienst-Datenbank wurde kompromittiert.

· Pandora: Kundenprofile wurden abgerufen.

· Qantas: Auf eine CRM-Plattform gespeicherte Kundendaten wurden kompromittiert.

· Allianz Leben: Die nordamerikanische Filiale des Versicherungsgiganten wurde ins Visier genommen.

· Cisco: Benutzerprofil Informationen aus einem CRM-System wurden gestohlen.

· Cartier: Begrenzte Kundeninformationen wurden abgerufen.

· Workday: Eine Kundensupport-Datenbank wurde kompromittiert.

· Nationales Kreditinformationszentrum Vietnams (CIC): Scattered Spider behauptete, fast 160 Millionen Datensätze exfiltriert zu haben.

Modus Operandi

Im Gegensatz zu anderen Gruppen, die sich rein auf Domain-Impersonation, Phishing und Vishing verlassen, ging Scattered Spider einen Schritt weiter, indem sie diese Methoden mit der Manipulation von MFA-Anwendungen kombinierten. Der Angriff beginnt mit einem Anruf eines Bandenmitglieds, das vorgibt, vom Support-Team zu sein, an einen vorab identifizierten Mitarbeiter. Der Mitarbeiter wird angeleitet, einen modifizierten Datenlader einzusetzen, um dem Bandenmitglied Zugriff auf die CRM-Daten zu verschaffen.

Der Angriff wird dann eskaliert, um mehrere Systeme anzugreifen. Aus den vorhandenen Informationen scheint es, dass die Gruppe tief in die Netzwerke von Jaguar Land Rover eindringen konnte, mit Zugang zu mehreren Anwendungen und Daten. Es scheint, dass Jaguar versucht, die Verbreitung des Verstoßes durch Deaktivieren der betroffenen Systeme zu kontrollieren. In den ersten Tagen, als der genaue Explosionsradius noch unbekannt war, ist es möglich, dass einige der betroffenen Systeme bei Jaguar Land Rover 'am Leben' gehalten wurden, was zum Datenverlust, zur Ausweitung des Systemeinflusses und zur verzögerten Wiederherstellung führte. 

Das Leaken von Daten, doppelte Erpressung und offene Drohungen über soziale Plattformen hinweg sind gängige Taktiken dieser Gruppe. Scattered Spider ist auch bekannt dafür, gestohlene Anmeldedaten und gehackte Anwendungen von Opfern zu verwenden, um Phishing-Mails an völlig neue potenzielle Opfer zu senden. 

Was ist mit den Verhaftungen?

Die USA und das Vereinigte Königreich haben kürzlich zwei Mitglieder der Gruppe angeklagt, die zuvor verhaftet wurden. Solche Verhaftungen sowie eine Nachricht der Gruppe auf ihrem Telegram-Kanal, die besagte: „Wir LAPSUS$, Trihash, Yurosh, yaxsh, WyTroZz, N3z0x, Nitroz, TOXIQUEROOT, Prosox, Pertinax, Kurosh, Clown, IntelBroker, Scattered Spider, Yukari, und viele andere, haben beschlossen, dunkel zu gehen“, deuten darauf hin, dass die Gruppe einfach ihre Spuren verwischt und für derzeitig in der Versenkung verschwinden, um später mit neuem Namen zurückzukehren. Die Führung der Gruppe ist noch frei, und wir werden sehen, dass sie sehr bald als umbenannte Organisation wieder auftauchen.

Erhalten Sie ein benutzerdefiniertes Bedrohungsbriefing für Ihre Organisation. Sprechen Sie mit unserem Bedrohungsforschungsteam.