De Amerikaanse en Britse autoriteiten hebben samen met diensten uit Australië en Canada vandaag gewaarschuwd voor een groep criminelen genaamd Scattered Spider die onder andere clouddata bij organisaties steelt, alsmede ransomware uitrolt. Eind 2023 verscheen de eerste versie van de waarschuwing. De groep is echter nog steeds actief en wordt verantwoordelijk gehouden voor aanvallen op allerlei organisaties, waaronder bleekmiddelfabrikant Clorox, de Britse ketens Marks & Spencer, Co-op en Harrods en de Amerikaanse casino- en hotelketen Caesars Entertainment.

De bijgewerkte waarschuwing (pdf) bevat meer informatie over de werkwijze van de groep, die vaak social engineering toepast om bij organisaties binnen te dringen. Zo doen leden van de groep zich voor als medewerkers van de aangevallen organisatie en proberen de helpdesk te overtuigen om het wachtwoord van de medewerker te resetten en de multifactorauthenticatie (MFA) over te zetten naar een apparaat waar zij de controle over hebben.

Zodra de groep toegang tot een netwerk of systemen heeft wordt geprobeerd om vertrouwelijke informatie te stelen. Deze informatie wordt naar verschillende locaties geüpload, waaronder MEGA.nz en in de VS gebaseerde datacenters en opslaglocaties, waaronder Amazon S3. In veel gevallen blijkt de groep ook toegang tot de Snowflake-omgeving van de organisatie te krijgen, aldus de waarschuwing.

Snowflake is een clouddienst die organisaties gebruiken voor de opslag van grote hoeveelheden data. Volgens de autoriteiten probeert de groep zodra er toegang is verkregen om in korte tijd veel data te stelen, waarbij tegelijkertijd duizenden queries in de Snowflake-omgevingen worden uitgevoerd. Ook versleutelt de groep VMware-servers. Daarnaast maakt de groep in gecompromitteerde omgevingen nieuwe identiteiten aan. Om die geloofwaardig te laten lijken worden fake socialmediaprofielen gecreëerd.

De waarschuwing is afkomstig van de FBI, het Cybersecurity and Infrastructure Security Agency van het Amerikaanse ministerie van Homeland Security, de Royal Canadian Mounted Police, het Australische Cyber Security Centre, de Australische politie, het Canadese Centre for Cyber Security en het Britse National Cyber Security Centre.