Die Hacker, die Berichten zufolge im vergangenen Jahr mehr als 130 Organisationen getroffen und die Anmeldeinformationen von fast 10.000 Mitarbeitern gestohlen haben, zielen laut einem Bericht von Tech immer noch auf mehrere Technologie- und Videospielunternehmen ab.
Der von der Cybersicherheitsfirma CrowdStrike erstellte Bericht nennt die Hacker „Scattered Spider“. In einem früheren öffentlich zugänglichen Berichtsagte das Unternehmen, dass diese Gruppe in einem offensichtlichen Hinweis auf auch als „Roasted 0ktapus“ bekannt ist der Bericht veröffentlicht von Group-IB, einem anderen Cybersicherheitsunternehmen, letztes Jahr.
Berichte wie der von Tech erhaltene werden von Threat-Intelligence-Unternehmen für ihre Kunden erstellt, mit der Idee, sie vor Hackern zu warnen, die entweder direkt auf die Kunden oder andere Unternehmen in der gleichen Branche abzielen. In dem Bericht stellt CrowdStrike fest, dass es einen begrenzten Einblick in die Hacking-Kampagne hat, da es keine „zusätzlichen forensischen Artefakte“ gibt, die sich auf Daten beziehen, die es direkt von Zielorganisationen erhalten hat. Aus diesem Grund gibt das Unternehmen zu, dass es „geringes Vertrauen“ in seine Einschätzung hat, dass dies eine Aktivität von Scattered Spider ist.
Zwei Cybersicherheits-Insider, die darum baten, anonym zu bleiben, da sie nicht autorisiert waren, mit der Presse zu sprechen, sagten, dass die Branche davon ausgeht, dass Scattered Spider dieselbe Gruppe wie 0ktapus ist.
„Scattered Spider setzte im Januar 2023 weiterhin zahlreiche Phishing-Seiten ein. CrowdStrike Intelligence geht davon aus, dass der Angreifer seinen Zielbereich wahrscheinlich auf Unternehmen aus dem Technologiesektor ausgeweitet hat, die sich auf Gaming- oder Finanzsoftware spezialisiert haben, während er sich weiterhin auf Unternehmen für das Outsourcing von Geschäftsprozessen (BPO) und Mobilfunk konzentriert Anbieter“, heißt es in dem nicht öffentlich zugänglichen Bericht.
Es ist unklar, ob dies dieselbe Gruppe ist, die Riot Games letzten Monat gehackt hat, aber in einer Liste von Phishing-Domains, die im CrowdStrike-Bericht enthalten ist, gibt es eine, die eindeutig auf den Videospielgiganten abzielt, da sie den Namen des Unternehmens enthält die URL.
Unter den Phishing-Domains gibt es auch andere, die darauf zugeschnitten sind, sich als Videospielhersteller Roblox und Zynga auszugeben; E-Mail-Marketing- und Newsletter-Gigant Mailchimp und seine Muttergesellschaft Intuit; Zwangsversteigerung; Comcast; und Grubhub. TaskUs, ein Auftragnehmer, der Kundenservice für Unternehmen wie Mailchimp, Intuit und andere Technologiegiganten anbietet, stand ebenfalls auf der Liste.
Im Januar gab Mailchimp bekannt, dass es gehackt worden war – der zweite Hack gegen das Unternehmen innerhalb von sechs Monaten. Damals sagte Mailchimp, die Hacker hätten seine Mitarbeiter per Phishing ins Visier genommen. Es ist unklar, ob dieser Vorfall mit den Aktivitäten von Scattered Spider zusammenhängt. Mailchimp hat auf eine Bitte um Stellungnahme nicht geantwortet.
Riot lehnte eine Stellungnahme ab.
Salesforce-Sprecher Allen Tsai sagte, dass das Unternehmen „Phishing-Kampagnen branchenweit kennt und überwacht“.
„Zu diesem Zeitpunkt haben wir keine Hinweise auf einen unbefugten Zugriff auf Kundendaten, die für den zitierten Bericht relevant sind“, sagte Tsai in einer E-Mail.
Ein Intuit-Sprecher äußerte sich nicht, da sie den Bericht nicht gesehen hatten.
Roblox, Zynga, TaskUs, Salesforce, Comcast und Grubhub reagierten nicht sofort auf eine Bitte um Stellungnahme.
Der Bericht besagt, dass „die Mehrheit“ der Phishing-Seiten der Hacking-Gruppe darauf ausgelegt waren, Okta-Anmeldeportale nachzuahmen, „während eine viel geringere Anzahl sich als Microsoft ausgab“.
CrowdStrike hat auf eine Bitte um Stellungnahme nicht geantwortet.
Sind Sie ein Google Fi-Abonnent, der ebenfalls Opfer eines ähnlichen Angriffs wurde? Haben Sie auch eine personalisierte Benachrichtigung des Unternehmens über den Hack gegen Sie erhalten? Wir würden uns freuen, von Ihnen zu hören. Sie können Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Wickr, Telegram und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.