Der Helpdesk als Hintertüre
Besonders im Visier der Kriminellen stehen dabei hochrangige Führungskräfte wie Chief Monetary Officers (CFOs), da deren Konten oft über umfangreiche Zugriffsrechte verfügen und deren IT-Anfragen mit hoher Dringlichkeit behandelt werden. So gelang es den Kriminellen in der Vergangenheit bereits, MFA-Geräte zurückzusetzen und smart Mitarbeiterinformationen zu verwenden, um Identitätsprüfungen zu umgehen.
Auch Charles Carmakal von Mandiant empfiehlt, sofort Maßnahmen zu ergreifen. Konkret sollen Unternehmen die Identitätsüberprüfungsprozesse ihrer Helpdesks verschärfen, „bevor sie neue Telefonnummern zu den Konten von Mitarbeitern/Auftragnehmern hinzufügen“. Diese könnten von den Bedrohungsakteuren verwendet werden, um Self-Service-Passwörter zurückzusetzen. Erhöhte Wachsamkeit sei zudem angeraten, wenn Helpdesk-Mitarbeiter Passwörter zurücksetzen, Geräte zu MFA-Lösungen hinzufügen oder Mitarbeiterinformationen (etwa Mitarbeiter-IDs) bereitstellen, da diese im Anschluss für Social-Engineering-Angriffe verwendet werden könnten.
Experten bestätigen Angriffe auf Fluggesellschaften
Obwohl keine konkreten Opfer von den Experten genannt wurden, bestätigte Carmakal, dass sein Unternehmen von mehreren Vorfällen im Flug- und Transportsektor Kenntnis habe, die den Aktivitäten von Scattered Spider ähnelten.
