Det er næsten altid en russer, der trækker i trådene bagved.
Sådan lyder en udbredt tanke i cybersikkerhedsmiljøet.
Men efter en række opsigtsvækkende cyberangreb hen over sommeren ser det ud til, at netop den grundsætning skal omskrives.
Senest er det gået ud over den danske smykkegigant Pandora, som har fået stjålet store mængder kundeoplysninger. Data som Computerworld har set.
Bag står den løst sammensatte gruppe Shinyhunters, som er en del af den berygtede gruppe Scattered Spider. Det er en flok unge hackere med selvtillid som rockstjerner og tålmodighed som pyromaner. Sikkerhedsforskere kalder dem APTeens.
“Vi er Scattered Spider og Shinyhunters, vi er én og den samme. Det har været sådan siden vores Snowflake kampagne sidste år, som ikke er så lang tid siden,” skriver profilen Shinycorp på Telegram til mig, da jeg kontaktede ham i sidste uge.
“Scattered Spider er en del af Shinyhunters gruppen. De giver os initial access, og vi pivot, dumper og eksfiltrerer dataen,” fortsætter den anonyme profil, som sender en stump data, der angiveligt er fra Pandora, som en form for bevis.
Shinyhunters kom på cyber-stormvejrsradaren sidste år, da gruppen fik adgang til konti hos cloudleverandøren Snowflake, som du kan læse mere om her.
20-årig kvinde anholdt
Hvis sammenblandingen af de to grupper står til troende, så er det en virkelig omfangsrig hitliste, som gruppen kan præstere. Her gælder det flere store supermarkedskæder i Storbritannien, forsikringsselskaber og flere flyselskaber, heriblandt KLM, der ejer en del af SAS.
For en måned siden blev fire helt unge mennesker anholdt, mistænkt for at stå bag angrebsbølgen mod supermarkederne. Pludselig fik offentligheden et sjældent kig ind i den nye generation af hackere. Unge, frygtløse og umulige at forudsige.
Anholdelsen af den britiske kvinde har vakt opsigt i miljøet. Ikke fordi det er første gang unge mennesker bliver knyttet til cyberkriminalitet, men fordi hun ifølge darkweb-analytiker Thomas Wilkan fra Accenture repræsenterer en ny type deltager.
“Det er næsten udelukkende mænd, der bruger telefonen til at snyde adgang ud af folk. Hun bryder den form. Og det virker,” siger han.
Én af de anholdte er netop denne 20-årige britiske kvinde, som ifølge Thomas Wilkan tilføjer en helt ny dimension. For næsten alle fupopkald brugt til social engineering er udført af drenge eller mænd.
“Brugen af en kvindelig hacker til telefonopkald giver Scattered Spider flere muligheder for at snyde for eksempel it afdelingen, fordi køn spiller en rolle, når det kommer til tillid,” siger han.
Og netop de gode evner til at manipulere og den kulturelle forståelse for, hvordan virksomheder opererer, er, hvad der adskiller den løstsammensatte gruppe Scattered Spider fra mere traditionelle cyberkriminelle som de russiske ransomware bander.
Medier (mis)bruges
Thomas Wilkan kalder den nye trussel for Advanced Persistent Teenagers, et spin på den mere udbredte betegnelse Advanced Persistent Threat, som bruges om statsstøttede hackerkolonier med dybe lommer, teknisk snilde og oceaner af tid til at udføre angreb.
Ifølge darkweb-detektiven adskiller gruppen sig også ved, at motivationen blandt banditterne ikke kun er at score kassen.
Gruppen drives af en flygtig blanding af penge, berømmelse, hævn og status, hvilket gør den langt mere uforudsigelig og skaber kaos," siger han.
Et AI genereret billede af en flammende drage sendt direkte til en BBC journalist. Det lyder som noget fra en Marvel film, men det skete.
For Scattered Spider handler det ikke kun om adgang. Det handler også om narrativet. De er teenagehackere, der ved, at et godt billede kan være lige så effektivt som en nul dags sårbarhed.
Det er en taktik, som flere cybersikkerhedseksperter mener, virksomheder endnu ikke har fattet alvoren af.
Hvis ledelsen prøver at skjule, hvad der er blevet stjålet, skal man ikke være i tvivl. Gruppen vil nok selv offentliggøre det.
“Derfor er det ekstravigtigt hurtigt at gøre sig klart, hvad data der er stjålet. Og så må det ikke sugarcoates, fordi så vil Scattered Spider blot lægge informationen til for eksempel journalister for at dominere nyhedscyklussen,” siger Thomas Wilkan.
