Scattered Spider ist eine finanziell motivierte kriminelle Gruppierung, die immer wieder telefonbasierte Social Engineering- und SMS-Phishing-Kampagnen (Smishing) einsetzt, um sich Zugang zu den Systemen ihrer Zielpersonen zu verschaffen. Es wird vermutet, dass es sich bei der Gruppe hauptsächlich um "Initial Access Broker“ handelt – sie agieren also als Ransomware-as-a-Service-Dienstleister für andere Kriminelle. Das würde erklären, warum sie aus so vielen verschiedenen Richtungen agieren und unterschiedliche Werkzeuge, Taktiken und Methoden einsetzen. Zwischen dem Zeitpunkt, an dem sie sich Zugang zum System ihres Ziels verschaffen, und dem Zeitpunkt, zu dem sie diesen Zugang verkaufen, liegt oft eine Zeitspanne, die den Opfern ein falsches Gefühl der Sicherheit vermittelt.

Scattered Spider ist auch für ihre Raffinesse bekannt, mit der sich Mitglieder der Gruppe bei Helpdesks als Mitarbeiter ausgeben. Ihre Englischkenntnisse sind so gut, dass es Muttersprachlern schwerfällt, ein Problem zu erkennen.

Die CL0P-Gruppe ist einzigartig in dem Sinne, dass es sich nicht um eine Ransomware-as-a-Service-Gruppe handelt. Sie sind eine sehr kleine, aber kontrollierte Gruppe, deren Größe ihnen hilft, bei Verhandlungen eine aggressive Haltung einzunehmen.

CL0P ist vor allem für den MOVEit-Hack bekannt. Die Hacker fanden bereits 2021 heraus, wie sie mehrere MOVEit-Schwachstellen ausnutzen konnten, hielten den Fund aber geheim und warteten bis 2023, als ihr Angriff vollständig automatisiert war, um die Schwachstelle in großem Umfang auszunutzen.

Sie sehen Schwachstellen und Exploits nicht als Gelegenheit, schnell Geld zu verdienen, sondern betrachten ihre Angriffskampagnen durch die Brille verschiedener Geschäftsstrategien. Der Fokus, die Ausdauer und das Geld hinter ihren langfristig geplanten Angriffen machen sie besonders gefährlich.

Die in diesem Cyber Services Snapshot vorgestellten Daten stammen aus globalen Vorfällen, die Beazley zwischen dem 1. Quartal 2021 und dem 3. Quartal 2023 gemeldet wurden.