Google warnt: Scattered Spider zielt nach dem Einbruch im britischen Einzelhandel auf US-Versicherer
Eine Hackergruppe, die für spektakuläre Angriffe auf Einzelhandelsriesen bekannt ist, richtet ihr Augenmerk nun auf die Versicherungsbranche, wie aus einer neuen Warnung der Threat Intelligence Group von Google hervorgeht. Die Gruppe, bekannt als Scattered Spider , wird mit einer Reihe von Cyberangriffen in Verbindung gebracht, die den Zugang von Versicherungskunden in den gesamten USA beeinträchtigten.
Die Warnung folgte auf eine Reihe von Datendiebstählen bei großen britischen Einzelhändlern Anfang des Jahres. Nach dieser Angriffswelle stellten Google-Analysten fest, dass Scattered Spider begonnen hatte, US-Einzelhändler ins Visier zu nehmen. Nun berichten Forscher, dass die Gruppe ein klares Interesse an Versicherungsunternehmen zeigt und deren Belegschaft durch Social Engineering aktiv ausbeutet.
„Akteure, die die Merkmale von Scattered Spider aufweisen, zielen nun auf die Versicherungsbranche ab. Sie arbeiten sich regelmäßig durch einen Sektor“, sagte John Hultquist, Chefanalyst der Threat Intelligence Group von Google. In einem Beitrag auf X wies er darauf hin, dass Scattered Spider stark auf Social Engineering setzt, insbesondere bei Angriffen auf Helpdesks und Callcenter.
Akteure, die die Merkmale von Scattered Spider aufweisen, haben es nun auf die Versicherungsbranche abgesehen. Sie arbeiten sich regelmäßig durch eine Branche. Versicherungsunternehmen sollten vor Social-Engineering-Angriffen auf ihre Callcenter auf der Hut sein.
– John Hultquist (@JohnHultquist) , 16. Juni 2025
Die Taktik ist nicht neu, aber nach wie vor effektiv. Anstatt auf komplexe Exploits oder Malware zurückzugreifen, gibt sich die Gruppe häufig als Mitarbeiter oder Auftragnehmer aus, um die Mitarbeiter davon zu überzeugen, Passwörter zurückzusetzen oder vertrauliche Zugangsdaten preiszugeben. Dieser Ansatz ermöglicht Angreifern den Zugang, ohne Sicherheitslücken zu verursachen.
Google hat die Namen der betroffenen Unternehmen dieser jüngsten Angriffswelle nicht öffentlich genannt. Erie Insurance, ein Anbieter mit Sitz in Pennsylvania, meldete jedoch am 7. Juni einen Datendiebstahl. Das Unternehmen hat die Täter zwar nicht bestätigt, der Zeitpunkt stimmt jedoch mit Googles Warnung überein. Erie hat seine Kunden zwar über den Vorfall informiert, aber noch keine Details zum Ausmaß des Angriffs bekannt gegeben.
Mittlerweile war Berichten zufolge auch die Versicherungssparte von Scania betroffen, was die Befürchtung verstärkt, dass die Konzentration des Konzerns auf Versicherer bereits in vollem Gange ist.
🚨Alarm vor Datendiebstahl‼️ 🇸🇪Schweden – Scania Financial ServicesEin Bedrohungsakteur unter dem Pseudonym „hensi“ behauptet, in die Subdomäne insurance.scaniacom eingedrungen zu sein und sich angeblich Zugriff auf einen vollständigen Satz von Dateien verschafft und diese exfiltriert zu haben.
Der Schauspieler gibt an, dass es sich um einen erstmaligen Einbruch handelt… pic.twitter.com/aPP09wSjhB
Dave Gerry, CEO von Bugcrowd, sagt, die jüngsten Aktivitäten heben seit langem bestehende Risiken im Umgang von Unternehmen mit internen Supportsystemen hervor.
„Sie nutzen Schwachstellen mit Social-Engineering-Taktiken aus und konzentrieren sich dabei auf Helpdesks und Callcenter, wo der Mensch oft das schwächste Glied ist“, so Gerry. „Vorfälle wie der bei Erie Insurance zeigen, wie wichtig es für die Versicherungsbranche ist, ihre Abwehrmaßnahmen und Strategien zur Reaktion auf Vorfälle zu überdenken. Das sind keine Einzelfälle. Es handelt sich um gezielte und fortlaufende Maßnahmen.“
Versicherer verfügen über sensible Finanz- und Personendaten – ein verlockendes Ziel für Angreifer. Besonders anfällig sind sie jedoch durch die Kombination wertvoller Informationen und komplexer Kundensupportsysteme, die oft Mitarbeiter für die Bearbeitung dringender Zugriffsanfragen oder Kontoänderungen benötigen.
Wenn es Bedrohungsakteuren gelingt, sich überzeugend als Mitarbeiter oder Kunden auszugeben, können Helpdesk-Mitarbeiter unwissentlich Zugriff auf interne Tools oder Benutzerkonten gewähren.
Unternehmen sollten überprüfen, wie Support-Teams Identitäten überprüfen und den Kontozugriff verwalten. Mehrstufige Verifizierung, bessere Schulungen und eingeschränkte Berechtigungen können das Risiko eines erfolgreichen Social-Engineering-Angriffs verringern.
HackRead
