De hackers van de "Gen Z" lieten de schappen in de supermarkt leeg achter en vielen vervolgens verzekeringsmaatschappijen en luchtvaartmaatschappijen aan. Nu heeft de Britse politie toegeslagen.

De bende heeft IT-experts de afgelopen weken flink beziggehouden. "Scattered Spider", zoals de groep zichzelf noemt, is verantwoordelijk voor een reeks spraakmakende cyberaanvallen. Begin mei liet de criminele organisatie schappen in Britse supermarkten leeg achter. Retailer Marks & Spencer moest zijn online activiteiten zeven weken stilleggen. Het winstverlies: £ 300 miljoen .

Kort daarna viel dezelfde hackersgroep verschillende Amerikaanse verzekeringsmaatschappijen aan. Hun nieuwste slachtoffers zijn luchtvaartmaatschappijen. Eerst drongen de hackers door tot de systemen van Hawaiian Airlines en Westjet, en vervolgens, een paar dagen geleden, tot die van Australian Airlines. Daar stalen ze de gegevens van zes miljoen klanten, waaronder namen, geboortedata, e-mailadressen, telefoonnummers en frequent flyer-nummers.

De Britse politie heeft nu een succes geboekt. Donderdag arresteerde ze vier vermoedelijke leden van "Scattered Spider". Ze zouden betrokken zijn bij de cyberaanvallen op drie Britse retailers twee maanden geleden. Opvallend is de jonge leeftijd van de arrestanten: het gaat om een 17-jarige, twee 19-jarige mannen en een 20-jarige vrouw.

Vorig jaar werden er in de VS al arrestaties verricht en vijf aanklachten ingediend. De verdachten waren tussen de 20 en 25 jaar oud en kwamen uit de VS. Vanwege hun leeftijd werden ze in de media aangeduid als "Gen Z"-hackers ; velen van hen zouden elkaar op gamingforums hebben ontmoet. Naast hun jonge leeftijd is het opvallend dat de geïdentificeerde leden van "Scattered Spider" niet uit Oost-Europa of Rusland komen, maar uit westerse landen, voornamelijk de VS en Groot-Brittannië.

Of de recente arrestaties blijvende schade aan de criminele bende zullen toebrengen, blijft onduidelijk. Volgens analyses van de beveiligingsbedrijven Crowdstrike en Halcyon bestaat "Scattered Spider" uit ongeveer vier kernleden die als projectmanagers fungeren. Deze personen selecteren potentiële slachtoffers en coördineren andere deelnemers of hele groepen. In totaal zou de criminele bende tot wel 1000 mensen kunnen omvatten, aldus een FBI-medewerker vorig jaar .

"Scattered Spider" is gestructureerd als een bedrijf en werkt met tijdelijke werknemers in verschillende landen. De bende maakt ook gebruik van criminele diensten van andere groepen die gespecialiseerd zijn in bijvoorbeeld inbraak in IT-systemen, computerversleuteling of afpersing.

Niet alle aanvallen lijken hetzelfde patroon te volgen. Dit onderscheidt "Scattered Spider" van pure ransomwaregroepen die IT-netwerken binnendringen, gegevens stelen, de systemen versleutelen en vervolgens betaling eisen. "Scattered Spider" versleutelt niet in alle gevallen gegevens. De groep heeft hiervoor geen eigen malware, ransomware genaamd, ontwikkeld. In plaats daarvan gebruikt de groep verschillende soorten afpersingssoftware, waardoor ze een zakenpartner is van de ransomwaregroepen.

Het opmerkelijke aan "Scattered Spider" is dat het toegang krijgt tot de systemen van zijn slachtoffers door medewerkers te manipuleren. "Ze vertrouwen volledig op menselijk gedrag", vertelde Ferhat Dikbiyik van cybersecuritybedrijf Black Kite aan de Wall Street Journal . "Ze laten zich liever via de deur binnen dan dat ze inbreken."

Deze aanpak wordt social engineering genoemd: de hackers bellen de IT-helpdesk van een bedrijf en doen zich voor als een medewerker die zichzelf heeft buitengesloten van zijn of haar e-mailaccount. Vervolgens gebruiken ze een methode genaamd sim-swapping om de sms-berichten die de medewerker ontvangt tijdens multifactorauthenticatie te onderscheppen. Dit stelt hen in staat toegang te krijgen tot de IT-systemen om gegevens te stelen of ransomware te installeren.

Dezelfde zeven stemmen hebben de afgelopen maanden diverse helpdesks gebeld, melden cybersecurityexperts die bekend zijn met de methoden die "Scattered Spider" gebruikt.

De hackersgroep trok voor het eerst de aandacht in 2023 toen ze met succes verschillende casino's in Las Vegas hackten. Ze veroorzaakten toen aanzienlijke schade, onder meer aan casino-exploitant MGM Resorts International: gokautomaten waren enkele dagen buiten werking en digitale kamersleutels werkten niet meer. De schade bedroeg ongeveer $ 100 miljoen.

Vorig jaar was de groep minder actief, mogelijk onder druk van rechercheurs . Maar dit voorjaar kwam "Scattered Spider" terug met een wraak. Tot op heden hebben de criminelen van "Scattered Spider" grotendeels dezelfde modus operandi gevolgd, vertelde Adam Meyers van Crowdstrike aan Wired . "Zodra ze een bedrijf vinden dat ze succesvol kunnen binnendringen, vragen ze zich af: 'Wie zijn hun concurrenten, wie kunnen we nog meer targeten?'" Vervolgens gaan ze door naar de volgende sector. Tot nu toe met succes.