Human Risk Roundup: Scattered Spider zielt auf Versicherungsunternehmen

In dieser Ausgabe des Human Risk Roundup hat Scattered Spider, eine cyberkriminelle Gruppe, die für ihren sektorspezifischen Fokus bekannt ist, in ihrer jüngsten Angriffswelle Versicherungsunternehmen ins Visier genommen. Und Google-Bedrohungsforscher warnen, dass eine ausgeklügelte Phishing-Kampagne Akademiker und Russland-Kritiker ins Visier nimmt, indem sie sich als das US-Außenministerium ausgibt. 

Scattered Spider spinnt ihr Netz um den Versicherungssektor 

Die Bedrohungsgruppe, die für eine Reihe von Angriffen auf britische Einzelhändler verantwortlich ist, hat es nun auf Versicherungsunternehmen abgesehen. Scattered Spider, auch bekannt als UNC3944, ist bekannt für seine fortschrittlichen Social-Engineering-Taktiken und dafür, dass er immer nur einen Sektor angreift. In diesem Monat wurden drei Versicherer innerhalb von fünf Tagen angegriffen.  

Was geschah 

"Die Google Threat Intelligence Group hat jetzt Kenntnis von mehreren Eindringlingen in den USA, die alle Merkmale einer Scattered Spider-Aktivität aufweisen. Wir sehen jetzt Vorfälle in der Versicherungsbranche," sagte der Chefanalyst von GTIG, John Hultquist, in einer E-Mail an mehrere Medien. Die Gruppe nutzt Social-Engineering-Methoden, um Helpdesks und Callcenter auszunutzen. Bedrohungsakteure geben sich als Mitarbeiter aus und nutzen psychologische Manöver, um IT-Teams dazu zu verleiten, die Multi-Faktor-Authentifizierung (MFA) und andere Zugangskontrollen zu umgehen.  

Warum es wichtig ist 

Das Eindringen von Scattered Spider in den Versicherungssektor stellt nicht nur ein direktes Risiko für den Betrieb der Versicherer dar, sondern kann auch die Daten der Versicherungsnehmer und sensible Informationen preisgeben. Diese Angriffe nutzen die Abhängigkeit des Sektors von Helpdesks und großen Mitarbeiterzahlen aus. Da die Gruppe Berichten zufolge mit Ransomware-Akteuren in Verbindung steht und in letzter Zeit Partnerschaften mit Cyberkriminellen eingegangen ist, könnte diese Verlagerung des Schwerpunkts zu schwerwiegenden Datenschutzverletzungen und Erpressungen in einer Branche führen, die stark auf Vertrauen angewiesen ist. 

Praktische Tipps für Sicherheitsverantwortliche in der Versicherungsbranche 

Erhöhen Sie das Bewusstsein für Social-Engineering-Taktiken: Stellen Sie sicher, dass Helpdesk- und Frontline-Mitarbeiter darin geschult sind, Identitätswechsel zu erkennen und angemessen auf verdächtige Interaktionen zu reagieren. 

Fördern Sie Prozesse zur Überprüfung von Mitarbeitern: Implementieren Sie klare Protokolle für die Überprüfung der Identität von Mitarbeitern, bevor Sie ihnen Zugang zu sensiblen Systemen gewähren oder ihre Anmeldedaten zurücksetzen. 

Überwachen Sie E-Mail-bezogenes Verhalten genau: Überprüfen Sie Ihre E-Mail-Aktivitäten regelmäßig auf Anzeichen für eine Kompromittierung, z. B. ungewöhnliche Weiterleitungsregeln, unerwartete Anfragen zum Zurücksetzen von Passwörtern oder Zugriff von unbekannten Orten. 

Lesen Sie mehr in The Hacker News.

Russische Cyber-Angreifer geben sich als U.S. Außenministerium aus 

Eine ausgeklügelte Phishing-Kampagne der vom russischen Staat gesponserten Gruppe UNC6293 hat es auf einflussreiche Personen wie Akademiker und Russlandkritiker abgesehen, indem sie sich als das US-Außenministerium ausgab. Die Kampagne verdeutlicht die wachsende Bedrohung durch gezielte Social-Engineering-Angriffe, die das Vertrauen ausnutzen, um selbst fortschrittliche Sicherheitskontrollen zu umgehen. 

Was geschah 

Von April bis Juni 2025 führte UNC6293 zwei koordinierte Phishing-Kampagnen durch, die darauf abzielten, sich langfristig Zugang zu den E-Mail-Konten der Opfer zu verschaffen. Die Angreifer verschickten gut gestaltete E-Mails mit gefälschten Adressen des US-Außenministeriums, um glaubwürdig zu erscheinen. Sobald die Opfer reagierten, wurden sie von den Hackern angeleitet, anwendungsspezifische Passwörter (ASPs) zu erstellen - 16-stellige Codes, die für den Zugriff von Drittanbieter-Apps auf Google-Konten gedacht sind. 

Die Angreifer nutzten diese ASPs, um sich über Mail-Clients in die E-Mail-Konten der Opfer einzuloggen und erhielten so langfristigen Zugriff auf deren Konten. Es wurden zwei Ansätze identifiziert: Einer verwendete einen Köder, der an das Außenministerium angelehnt war, und der andere übernahm das ukrainische und das Microsoft-Branding, um seine Attraktivität zu erhöhen. Beide Kampagnen verließen sich auf Proxys und andere Infrastrukturen, um ihre Aktivitäten zu verbergen und den Zugang zu erhalten. 

Warum es wichtig ist 

Die Taktik von UNC6293 zeigt, wie gezielte menschliche Manipulation Angreifern helfen kann, starke Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung (MFA) zu umgehen. Indem sie sich Zugang zu E-Mails auf Insiderebene verschaffen, können diese Akteure sensible Kommunikationen überwachen, Daten stehlen und sich für weitere Angriffe positionieren. Diese Kampagne erinnert uns eindringlich daran, dass Phishing nicht mehr nur eine Sprühtaktik ist, sondern eine kalkulierte Strategie, die Vertrauen und menschliche Schwächen ausnutzt. 

Praktische Tipps für Sicherheitsverantwortliche 

Verstärken Sie den Schutz vor Phishing-E-Mails: Implementieren Sie Systeme, die verdächtige E-Mails proaktiv erkennen und blockieren, einschließlich solcher mit gefälschten Absenderadressen oder Links, die darauf abzielen, Anmeldedaten zu stehlen. 

Kennzeichnen und verifizieren Sie externe Kommunikation: Setzen Sie Maßnahmen ein, um Mitarbeiter auf potenzielle Risiken in E-Mails aus ungeprüften externen Quellen aufmerksam zu machen, und helfen Sie ihnen, ungewöhnliche Kommunikationsversuche zu hinterfragen. 

Überwachen und prüfen Sie Kontoaktivitäten: Überprüfen Sie regelmäßig das Anmeldeverhalten und die Zugriffsmuster von Konten auf Anomalien wie z.B. die Anmeldung von unbekannten Standorten oder nicht autorisierten Geräten. 

Schärfen Sie das Bewusstsein der Benutzer: Informieren Sie Ihre Mitarbeiter laufend über neue Phishing-Taktiken und befähigen Sie sie, maßgeschneiderte Betrügereien, die auf menschliche Schwachstellen abzielen, zu erkennen und zu melden. 

 Was Sie beachten sollten: DHS warnt vor Cyberangriffen aus dem Iran 

Das Department of Homeland Security (DHS) warnt vor einer möglichen Zunahme bösartiger Cyber-Aktivitäten aus dem Iran nach den US-Militärschlägen auf iranische Atomanlagen. In dem Bulletin wird davor gewarnt, dass iranische Agenten und unterstützende Hacktivisten als Vergeltungsmaßnahme wahrscheinlich Cyberangriffe auf US-Netzwerke auf niedriger Ebene durchführen werden.

Zusätzlich zu den Cyber-Bedrohungen wies das DHS auf ein erhöhtes Risiko für die Sicherheit von US-Regierungsbeamten und Kritikern des iranischen Regimes hin. Hacker, die mit dem Iran in Verbindung stehen, haben es in der Vergangenheit immer wieder auf schlecht gesicherte kritische Infrastrukturen abgesehen, darunter Wasserversorgungsunternehmen und Technologiefirmen. 

Lesen Sie mehr über diese Entwicklung in Cybersecurity Dive. 

Mimecast Threat Intelligence: Neue Welle der Astaroth Infostealer-Kampagne 

Samantha Clarke und das Mimecast Threat Research Team haben eine neue Welle der Astaroth Infostealer-Kampagne aufgedeckt, eine ausgeklügelte malware-Operation, die auf Lateinamerika, insbesondere Brasilien und Mexiko, abzielt. Diese ausgeklügelte malware, die seit 2017 aktiv ist, nutzt dateilose Angriffstechniken, um sich der Erkennung zu entziehen und nutzt phishing-E-Mails, um Infektionen zu initiieren. Die Opfer werden dazu verleitet, auf bösartige Links zu klicken, die verschleiertes JavaScript herunterladen, so dass die malware vertrauliche Informationen wie Bankdaten stehlen kann. 

Die Operationen von Astaroth zeichnen sich durch Geofencing und maßgeschneiderte Social-Engineering-Taktiken aus, was sie in ihren Zielregionen besonders effektiv macht. Mit einer schwindelerregenden Verbreitung von bis zu 100.000 Phishing-E-Mails pro Tag stellt die Kampagne eine erhebliche Bedrohung dar. Unternehmen werden dringend aufgefordert, ihre E-Mail-Sicherheitsmaßnahmen zu verbessern und das Bewusstsein der Benutzer zu schärfen, um diese sich entwickelnde Bedrohung zu bekämpfen.  

Weitere Informationen zu Astaroth Infostealer finden Sie in unserem Threat Intelligence Hub.