Scattered Spider ontwricht bedrijven; wie zijn het?

Scattered Spider ontwricht bedrijven; wie zijn het?

Nieuws
Security
Redactie WINMAG Pro

De afgelopen jaren zien we ze vaak voorbij komen: Scattered Spider. Met een ongebruikelijke combinatie van social engineering, technische finesse en brutale lef heeft de hackgroep zich razendsnel opgewerkt tot een van de gevaarlijkste cybercriminelen van dit moment. Hun aanvallen treffen grote ondernemingen en laten zien hoe klassieke tactieken in een nieuw jasje ongekende schade kunnen aanrichten.

Vorige week zagen we een nieuw rapport waaruit bleek dat de groep verantwoordelijk was voor honderden miljoenen aan schade. Dat is niet de eerste keer - een paar jaar geleden dook de naam ook al op en

Wat is Scattered Spider?

Scattered Spider is een relatief jonge, maar uiterst doeltreffende hackgroep die sinds 2022 internationale bekendheid verwierf. In tegenstelling tot veel andere cybercriminelen opereert deze groep niet primair vanuit Rusland of China, maar vermoedelijk vanuit Engelstalige landen, waaronder de VS en het VK. De groep staat ook bekend onder de naam UNC3944, een aanduiding gebruikt door beveiligingsonderzoekers.

Hun specialiteit: het misleiden van mensen binnen organisaties om toegang te krijgen tot interne systemen – een techniek die bekend staat als social engineering. Maar daar blijft het niet bij: ze combineren deze sociale manipulatie met geavanceerde technische aanvallen, zoals het misbruiken van beheertools of het omzeilen van multifactor-authenticatie.

Hoe kon deze groep zo snel uitgroeien tot een elite-aanvaller?

Wat Scattered Spider onderscheidt van traditionele cyberbendes, is hun agile aanpak. Waar klassieke ransomwaregroepen vaak log opereren in hiërarchische structuren, werkt Scattered Spider met een losse, flexibele formatie. Dit maakt het moeilijker om ze op te sporen of lam te leggen.

Bovendien maken ze slim gebruik van legitieme IT-beheertools, zoals remote managementsoftware en cloudgebaseerde authenticatieservices. Dit stelt hen in staat om onder de radar te blijven, zelfs nadat ze al toegang hebben tot netwerken. Securitybedrijven zoals Mandiant waarschuwen dat de groep regelmatig toegang behoudt tot netwerken, zelfs nadat het beveiligingsteam denkt dat de aanval is afgeslagen.

Welke tactieken maken Scattered Spider zo effectief?

De kracht van Scattered Spider zit in de combinatie van drie kernfactoren:
 

  • Social engineering op maat: via overtuigende phishing of vishing (voice phishing) worden medewerkers overgehaald om gegevens prijs te geven of MFA-codes door te spelen.
  • Misbruik van legitieme tools: in plaats van malware te gebruiken die gedetecteerd kan worden, zetten ze legitieme software in zoals AnyDesk of Microsoft Teams-beheerportals.
  • Snelle escalatie: eenmaal binnen, weet de groep zich razendsnel te verplaatsen binnen het netwerk. Ze richten zich op het verkrijgen van beheerdersrechten, waarmee ze systemen kunnen manipuleren of data kunnen exfiltreren.

Bij diverse aanvallen werd ook ransomware ingezet, waaronder BlackCat/ALPHV, een variant die eerder gekoppeld werd aan Russische criminele netwerken. De samenwerking tussen Scattered Spider en zulke gevestigde groepen suggereert dat ze opereren op het hoogste niveau binnen het cybercrime-ecosysteem.

Blast from the past

Hoewel Scattered Spider een unieke signatuur heeft, zijn er parallellen te trekken met eerdere groepen, zoals LAPSUS$, eveneens bekend om het manipuleren van medewerkers en brute social engineering-tactieken. Beide groepen bewijzen dat ‘menselijke zwakte’ vaak de zwakste schakel blijft.

Ook APT29 (Cozy Bear) is, hoewel politiek gemotiveerd en opererend namens overheden, ook bekend om het gebruik van legitieme tools om detectie te vermijden.

Toch is Scattered Spider uniek in zijn non-statelijke karakter gecombineerd met extreem hoge effectiviteit. Ze opereren met de precisie van een staatsgroep, maar zijn puur financieel gedreven.

Wat betekent dit voor de cybersecurity van vandaag?

De opkomst van Scattered Spider laat zien dat klassieke verdedigingsmaatregelen - zoals antivirus en firewalls - niet volstaan tegen aanvallen die beginnen bij de menselijke factor. Organisaties moeten daarom:
 

  • Investeren in awareness-training, specifiek gericht op social engineering en MFA-manipulatie;
  • Zorg dragen voor Zero Trust-beleid, waarin toegang niet automatisch wordt toegekend op basis van locatie of identiteit;
  • Actief monitoren op misbruik van legitieme tools, ook binnen goedgekeurde IT-processen;
  • Incidentresponsprocedures oefenen, zodat snelle escalatie niet tot blijvende schade leidt.

De dreiging van Scattered Spider is daarmee niet alleen technisch, maar vooral cultureel: hoe goed zijn organisaties in staat hun medewerkers (en hun tooling) weerbaar te maken tegen moderne aanvallen?

Lees meer

Online criminaliteit treft 2,4 miljoen Nederlanders
Online criminaliteit treft 2,4 miljoen Nederlanders
Cegeka uitgeroepen tot winnaar van de 2025 Microsoft Dynamics 365 Supply Chain Partner of the Year Award
Cegeka uitgeroepen tot winnaar van de 2025 Microsoft Dynamics 365 Supply Chain Partner of the Year Award
Overheid zet rem op externe inhuur: vraag daalt in derde kwartaal met 25 procent
Overheid zet rem op externe inhuur: vraag daalt in derde kwartaal met 25 procent
NFIR vernieuwt Managed Detection & Response
NFIR vernieuwt Managed Detection & Response
Sulava, onderdeel van The Digital Neighborhood, wint Microsoft Global Partner Award
Sulava, onderdeel van The Digital Neighborhood, wint Microsoft Global Partner Award
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie