De politie in het Verenigd Koninkrijk heeft een 17-jarige jongen gearresteerd die verdacht wordt van betrokkenheid bij de ransomware-aanval op MGM Resorts in 2023 en als lid van het hackerscollectief Scattered Spider.

“We hebben een 17-jarige jongen uit Walsall gearresteerd in verband met een wereldwijde cybercriminele groepering die grote organisaties heeft aangevallen met ransomware en toegang heeft verschaft tot computernetwerken,” luidt een verklaring van de politie van West Midlands in het Verenigd Koninkrijk.

“Agenten van onze Regionale Georganiseerde Misdaad Eenheid voor de West Midlands (ROCUWM) hebben samen met agenten van de Nationale Misdaad Autoriteit, in coördinatie met het Amerikaanse Federal Bureau of Investigation (FBI), de arrestatie verricht op een adres in de stad op donderdag (18 juli).”

De tiener werd gearresteerd op verdenking van het overtreden van de Blackmail and Computer Misuse Act en werd vervolgens op borgtocht vrijgelaten terwijl de politie haar onderzoek afrondde.

De autoriteiten hebben ook digitale apparaten van de verdachte in beslag genomen die onderzocht zullen worden voor verder bewijs.

“We zijn trots dat we de wetshandhavers hebben kunnen helpen bij het lokaliseren en arresteren van een van de vermeende criminelen die verantwoordelijk zijn voor de cyberaanval op MGM Resorts en vele anderen,” zei MGM als onderdeel van de verklaring van de wetshandhavers.

De Britse politie zegt dat de arrestatie deel uitmaakt van een breder onderzoek uitgevoerd door de Nationale Misdaad Autoriteit en de FBI naar een hackersgroep die bekend staat om het inbreken in netwerken, het stelen van gegevens en het inzetten van ransomware in afpersingsschema’s.

Hoewel dit niet expliciet is vermeld in de verklaring van de politie, is het hackerscollectief achter de aanval op MGM bekend als Scattered Spider.

De naam “Scattered Spider” duidt op een losjes verbonden gemeenschap van Engelssprekende dreigingsactoren (zo jong als 16) met diverse vaardigheden die vaak dezelfde Telegram-kanalen, Discord-servers en hackerforums bezoeken.

Sommige leden worden ook verondersteld deel uit te maken van de “Comm” – een ander hackerscollectief dat in verband wordt gebracht met gewelddadige handelingen en cyberincidenten.

Tegenover de algemene overtuiging dat Scattered Spider een samenhangende bende is, is het een netwerk van individuen met een groot aantal dreigingsactoren die deelnemen aan verschillende aanvallen.

Deze flexibele structuur maakt het moeilijk voor wetshandhavers om hen te traceren of aanvallen aan een specifieke cybercriminele groep toe te schrijven.

Scattered Spider is ook bekend als 0ktapus, Starfraud, UNC3944, Scatter Swine, Octo Tempest en Muddled Libra.

In een FBI-advies uit 2023 beschreef wetshandhaving de vaardigheden en tactieken van het hackerscollectief, waaronder social engineering, phishing, multi-factor authenticatie (MFA) bombing (gerichte MFA-moeheid) en SIM swapping om toegang te krijgen tot bedrijfsnetwerken.

In het afgelopen jaar hebben de dreigingsactoren in deze “gemeenschap” de ongebruikelijke benadering gevolgd van het samenwerken met Russische ransomware-bendes, waaronder BlackCat/AlphV, Qilin en RansomHub.

Andere aanvallen die aan Scattered Spider worden toegeschreven, zijn Caesars, DoorDash, MailChimp, Twilio, Riot Games en Reddit.