Connect with us

Datenschutz & Sicherheit

Cybercrime-Bande „Scattered Spider“: Vier Verhaftungen in Großbritannien


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Im Zusammenhang mit Angriffen auf britische Unternehmen haben Strafverfolger vier mutmaßliche Mitglieder der Bande „Scattered Spider“ festgenommen. Einer 20 Jahre alten Frau, zwei 19-jährigen Männern und einem Siebzehnjährigen werfen die Ermittler Computermissbrauch, Erpressung, Geldwäsche und Mitgliedschaft in einer kriminellen Organisation vor.

Die vier Verdächtigen sollen Mitglieder einer Gruppe namens „Scattered Spider“ sein, die in den vergangenen Monaten mehrere Einzelhandelsunternehmen lahmlegte. Vor allem die Kaufhauskette „Marks & Spencer“, Betreiberin hunderter Filialen in Großbritannien, litt unter den Angriffen und stellte Ende April sogar ihr Onlinegeschäft vorübergehend ein. Der Angriff kostete das Unternehmen Berichten zufolge bis zu 300 Millionen Pfund. Auch die Traditionsmarke Harrods und die Supermarktkette Co-Op Group beklagten Angriffe durch mutmaßliche Scattered-Spider-Mitglieder.

Die Gruppe ist personell mit Lapsus$ verbandelt, einer ebenfalls in Großbritannien aktiven kriminellen Cybergang, die sich ähnlicher Methoden bedient. Auch im Fall des Angriffs auf Marks & Spencer kam SIM-Swapping auf einen Dienstleister zum Einsatz, also die widerrechtliche Vervielfältigung von Mobilfunkkarten. Meist geht dem ein betrügerischer Anruf beim jeweiligen Mobilfunkanbieter voraus, in dem etwa der Diebstahl oder Verlust der Original-SIM behauptet und der zuständige Kundendienstmitarbeiter übertölpelt wird. SIM-Swapping ist in den USA und Großbritannien verbreitet, in Deutschland jedoch keine große Gefahr, wie uns Mobilfunkbetreiber bestätigten.

Die Bande bedient sich vorwiegend der Methoden aus dem Werkzeugkasten des Social Engineering, um sich in Unternehmensnetze einzumogeln. Dann exfiltrieren die Kriminellen Daten und erpressen ihre Opfer – ein Geschäftsmodell, auf das sich neuerdings auch Ransomware-Banden spezialisieren. Die Verschlüsselung von Daten, wie klassische Ransomware sie vornimmt, scheint nicht Teil des Scattered-Spider-Instrumentariums zu sein.

Der Journalist Brian Krebs hat die Bande und ihre Verbündeten von Lapsus$ seit Jahren im Auge. Er gibt an, dass einer der nun Festgenommenen bereits im April 2022 in einem internen Chat der Gruppe namentlich erwähnt und mutmaßlich bereits damals beim SIM-Swapping erwischt worden war. Wie Krebs schreibt, hatte der Nachwuchskriminelle seine Mittäter gebeten, Vorsicht walten zu lassen, um bei seinen Eltern keinen neuen Verdacht zu erregen. Offenbar war der mittlerweile 19-Jährige damals erst sechzehn Jahre alt. Sieben Mitglieder von Lapsus$ in Großbritannien waren im Jahr 2022 verhaftet worden, gegen fünf US-amerikanische Verdächtige erhoben Staatsanwälte im Jahr 2024 Anklage.

Die in Großbritannien kürzlich festgenommenen bleiben vorerst in Haft, teilte die National Crime Agency (NCA) mit. Ihre elektronischen Geräte seien beschlagnahmt worden und würden derzeit analysiert. Den betroffenen Unternehmen dankte die NCA für die Unterstützung bei den Ermittlungen.


(cku)



Source link

Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

Qantas: Erste Details nach Cyber-Vorfall bekannt


In der vergangenen Woche wurde bekannt, dass es einen Cyberangriff auf die australische Fluggesellschaft Qantas gegeben hat. Dabei haben sich Cyberkriminelle Zugang zu Daten von Millionen Qantas-Kunden verschafft. Jetzt hat die Airline erste Zwischenergebnisse der Untersuchung des Vorfalls veröffentlicht.

Auf einer eigens dafür eingerichteten Webseite liefert Qantas einen aktualisierten Status. Demnach hat die Fluggesellschaft Fortschritte bei der forensischen Analyse der Kundendaten auf dem kompromittierten System gemacht. Das Unternehmen bekräftigt, dass weder Kreditkarteninformationen, noch persönliche finanzielle Informationen oder Ausweis-Details auf dem System gespeichert wurden und daher auch nicht zugreifbar waren.

Daten von Qantas-Vielfliegern seien nicht betroffen – Passwörter, PINs und Log-in-Details wurden weder abgegriffen noch kompromittiert. Die Daten, die die Angreifer kompromittiert haben, seien nicht ausreichend, um Zugriff auf die Vielfliger-Accounts zu erlangen. Es gebe zudem keine Hinweise, dass die gestohlenen Daten veröffentlicht wurden. Qantas beobachtet mit der Unterstützung von Cyber-Sicherheitsexperten die Lage weiter.

Nachdem die Analysten die Dubletten entfernt haben, blieben noch 5,7 Millionen Kunden-Datensätze übrig. Einzelne spezielle Datenfelder variieren von Kunde zu Kunde, aber die Daten setzen sich offenbar folgendermaßen zusammen: 4 Millionen Datensätze beschränken sich auf den Namen, die E-Mail-Adresse und Qantas-Vielflieger-Details. Davon bestanden 1,2 Millionen Datensätze lediglich aus Namen und E-Mail-Adresse und bei 2,8 Millionen war auch die Vielflieger-Nummer enthalten; die Tier-Ebene war bei einem Großteil verzeichnet, bei einigen Kunden auch Punktestand und Status-Credits.

Die restlichen 1,7 Millionen Kundendaten bestehen aus einer Kombination von einigen der vorgenannten Datenfelder und zusätzlich noch einem oder mehreren der folgenden Punkte: Adressen (1,3 Millionen), Geburtsdatum (1,1 Millionen), Telefonnummern (900.000), Geschlecht (400.000) sowie Essensvorlieben (von 10.000 Kunden).

Qantas will nun vom Datenleck betroffene Kunden mit E-Mails kontaktieren und sie darüber informieren, welche Daten in dem kompromittierten System über sie abgelegt waren. Die Kunden sollten jedoch aufmerksam bleiben und insbesondere bei E-Mails, Textnachrichten oder Telefonanrufen angeblich von Qantas Vorsicht walten lassen. Das Unternehmen frage Kunden niemals nach Passwörtern oder persönliche und finanzielle Informationen. Die Identität sollten sie dadurch prüfen, dass sie sie auf einer Nummer zurückrufen, die auf offiziellen Qantas-Kanälen angegeben ist. Zudem sollten Betroffene Zwei-Faktor-Authentifizierung etwa für persönliche E-Mail- und Online-Konten aktivieren.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

EU unterstützt Initiative für Unabhängigkeit von Big Tech


Ob Rechenzentren, Websuche, soziale Medien oder Betriebssysteme – digitale Infrastruktur ist so wichtig für das Funktionieren von Alltag und Demokratie, ähnlich wie Straßen, Brücken oder Stromnetze. Menschen verlassen sich jeden Tag darauf. Doch was ist, wenn die Infrastruktur sich dem Einfluss der Öffentlichkeit entzieht?

Spätestens mit Beginn der zweiten Amtszeit von US-Präsident Donald Trump ist die Frage nach Europas Abhängigkeit in Sachen digitale Infrastruktur drängender denn je. Die Gesellschaft für Informatik spricht gar von der Gefahr eines Killswitchs, wonach Trump die Macht besäße, Big-Tech-Unternehmen wie Microsoft dazu zu bringen, ihren Support für Software in Deutschland einzustellen – und damit ganze Behörden lahmzulegen.

Doch auch, wenn dieses Szenario nicht eintritt, birgt der Einfluss von Tech-Riesen wie Microsoft und Oracle in EU-Staaten wie Deutschland zunehmend Risiken. Gut 96 Prozent der Behörden auf Bundesebene nutzen in Deutschland etwa die Bürosoftware von Microsoft und sind damit auch der Preispolitik des Konzerns ausgeliefert. Zudem sind viele Datenbanken des Bundes auf Software von Oracle angewiesen.

Vier EU-Staaten wollen Kräfte bündeln

Gegen diese Übermacht regt sich Widerstand, etwa in Schleswig-Holstein. Das Bundesland hat mit seiner Open-Source-Strategie Microsoft abgeschworen. Und auch die Region Lyon in Frankreich hat den Wechsel zu Linux gewagt.

Um gemeinsam eine digitale Infrastruktur aufzubauen, die sich von US-Herstellern unabhängig macht, wollen die EU-Mitgliedstaaten Deutschland, die Niederlande, Frankreich und Italien Kräfte bündeln. Diese Woche haben sie das Papier zur Gründung eines neuen europäischen Konsortiums unterschrieben. Es geht um Digitale Infrastrukturen für digitale Gemeingüter, auf Englisch: „European Digital Infrastructure Consortium for Digital Commons“ (DC-EDIC).

Die Initiative wird vom Europäischen Konsortium für digitale Infrastruktur (EDIC) unterstützt und hat zuvor von der EU-Kommission grünes Licht bekommen. Das DC-EDIC finanziert sich aus den Beiträgen der Mitglieder und soll digitale Gemeingüter entwickeln, pflegen und nachhaltig finanzieren. Zudem soll es die Community rund um digitale Gemeingüter zu stärken.

Alternativen zu Microsoft

Konkrete Projekte sind beispielsweise Microsoft-Alternativen wie La Suite Numerique aus Frankreich oder die Kollaborationssoftware openDesk, ein Projekt des öffentlich finanzierten Zentrums für digitale Souveränität (ZenDiS). Das ZenDiS hat die Initiative für das neue DC-EDIC selbst mitangestoßen, zusammen mit der ebenso vom Bund finanzierten Sovereign Tech Agency (STA).

Die gemeinnützige europäische Organisation Open Future setzt sich für digitale Gemeingüter ein und begrüßt die Initiative. Europa mangele es derzeit unter anderem an einer interoperablen Cloud-Infrastruktur, Tools zur Wahrung der Privatsphäre und offenen Protokollen für soziale Netzwerke. Nur auf dieser technologischen Basis könne man „das öffentliche Interesse schützen und Konzentration von Macht verhindern“. Das Konsortium könne künftig eine entscheidende Rolle spielen.

Gemeinsam mit den Partnern wolle man nun das DC-EDIC zügig errichten, heißt es von der STA auf Anfrage. In Deutschland werde die STA diesen Prozess zusammen mit dem Bundesministerium für Digitales und Staatsmodernisierung und dem ZenDiS voranbringen.



Source link

Weiterlesen

Datenschutz & Sicherheit

Kritische Codeschmuggel-Lücke in Wing FTP wird angegriffen


In der Datentransfersoftware Wing FTP klafft eine Sicherheitslücke, die Angreifern aus dem Netz das Einschleusen und Ausführen von Schadcode ermöglicht. Sie erhält die höchstmögliche Risikobewertung „kritisch“. IT-Forensiker haben den Missbrauch der Schwachstelle bereits am 1. Juli beobachtet.

Laut Schwachstellenbeschreibung behandelt das User- und Admin-Webinterface „\0“-Bytes fehlerhaft, die das Ende von Zeichenketten anzeigen. Ohne in die Details zu gehen, soll das Angreifern ermöglichen, beliebigen LUA-Code in User-Session-Files zu schleusen. Damit lassen sich wiederum beliebige Systembefehle mit den Rechten des FTP-Servers – standardmäßig „root“ oder „SYSTEM“ – ausführen. „Das ist daher eine Remote-Code-Execution-Lücke, die die vollständige Server-Kompromittierung garantiert“, schreiben die Melder der Lücke. Sie lasse sich auch mit anonymen FTP-Konten ausnutzen (CVE-2025-47812 / EUVD-2025-21009, CVSS 10.0, Risiko „kritisch„).

Über die beobachteten Angriffe auf die Sicherheitslücke berichten IT-Sicherheitsforscher von Huntress in ihrem Blog. Sie beschreiben Details der beobachteten Angriffe und liefern am Ende eine Liste von Indizien für Angriffe (Indicators of Compromise, IOCs).

Die Schwachstelle betrifft Wing FTP vor der aktuellen Fassung 7.4.4, die seit dem 14. Mai 2025 zum Herunterladen bereitsteht. Das Changelog nennt explizit die Sicherheitslücke, die damit geschlossen wird. Wing FTP steht auf der Download-Seite für Linux, macOS und Windows bereit. IT-Verantwortliche sollten zügig die Updates anwenden.

Datentransfersoftware ist für Cyberkriminelle interessant, da sie durch Schwachstellen darin oftmals auf sensible Daten zugreifen können, mit denen sie Unternehmen dann um Lösegeld erpressen können. So ging die Cybergang Cl0p auch vor, um Daten von vielen namhaften Unternehmen und gar von US-Behörden durch Schwachstellen in der Datenübertragungssoftware Progress MOVEit abzugreifen.


(dmk)



Source link

Weiterlesen

Beliebt