Threat Intelligence

Scattered Spider

Keine Malware nötig: Scattered Spider ruft einfach Ihren Helpdesk an – und redet sich in Ihr Netzwerk. Die neue Generation Social-Engineering-getriebener Angriffe.

Kurz erklärt

Scattered Spider (auch UNC3944/Octo Tempest) ist ein loses Netzwerk überwiegend junger, englischsprachiger Angreifer, das große Unternehmen über Social Engineering kompromittiert: Vishing-Anrufe beim Helpdesk, SIM-Swapping und MFA-Fatigue. Trotz Verhaftungen bleibt das Umfeld aktiv und kooperierte zeitweise mit Ransomware-Operationen wie ALPHV und DragonForce.

Typ

Cybercrime-Netzwerk (Social-Engineering-Spezialisten)

Status

Aktiv – trotz mehrerer Festnahmen 2024/2025 (Stand: Juli 2026)

Motivation

Finanziell – Erpressung, Datendiebstahl, teils in Kooperation mit RaaS

Typische Ziele

Großunternehmen mit ausgelagerten Helpdesks – Handel, Hospitality, Versicherungen, Airlines

Taktiken

Vishing, Helpdesk-Impersonation, SIM-Swapping, MFA-Fatigue, Identitäts- und Cloud-Übernahme

Risiko-Einschätzung

Hoch – zielt auf den Menschen, nicht auf die Technik

Was Unternehmen jetzt prüfen sollten

  • Helpdesk-Prozesse: Identitätsprüfung vor jedem Passwort-/MFA-Reset – ohne Ausnahme
  • Phishing-resistente MFA (FIDO2/Passkeys) statt Push-Benachrichtigungen
  • Alarmierung bei ungewöhnlichen MFA-Registrierungen und Privilegien-Änderungen
  • Notfallübung: Was passiert, wenn ein Admin-Konto übernommen wird?

Wie Argos unterstützt

Awareness-Programme inklusive Vishing-Simulationen, Identity-Monitoring im Cyber Defense Center und Tabletop-Übungen für den Kontoübernahme-Fall.