Wer landet im Netz der Cyber-Spinne?

Der britische Einzelhändler Marks & Spencer wurde Ende April durch eine Cyberattacke erheblich in seinem Geschäftsbetrieb gestört. Voraussichtlicher Schaden: über 400 Millionen Dollar. Kurz darauf ereigneten sich ähnliche Angriffe auf die Einzelhändler Harrods und Co-op.

Alle drei Angriffe werden einer Bande junger, englischsprachiger Hacker namens Scattered Spider zugeschrieben. Die Bande ist auch unter verschiedenen anderen Namen wie UNC3944, Starfraud sowie Octo Tempest bekannt und scheint Teil der schwer fassbaren Cyberkriminellen-Szene „The Com“ zu sein.

Spinne und Drache machen gemeinsame Sache

Seit kurzem arbeitet Scattered Spider mit dem Ransomware-as-a-Service-Anbieter (RaaS) DragonForce zusammen, der sich als pro-palästinensische Hacktivisten ausgibt. Möglicherweise agiert die RaaS-Gruppe aber auch unter Duldung des russischen Staates. Ein Beleg dafür könnte sein, dass DragonForce davor warnte, Ziele in der Gemeinschaft Unabhängiger Staaten (GUS) anzugreifen. Die rivalisierende Gruppe RansomHub wirft ihnen zudem vor mit dem russischen Geheimdienst FSB zusammenzuarbeiten.

Die genaue Beziehung zwischen Scattered Spider und der Ransomware-Gruppe DragonForce ist unklar, obwohl Scattered Spider deren Malware nutzt. Experten wie Mike Hamilton, Bereichsleiter CISO bei Lumifi Cyber, vermuten, dass DragonForce nach dem russischen Modell lediglich Tools und Infrastruktur vermietet.

Laut Zach Edwards, leitender Bedrohungsforscher bei Silent Push, ist jedoch klar, dass es sich bei DragonForce um eine der gefährlichsten Ransomware-Gruppen handelt, die zudem mit einer technisch äußerst effizienten Schadsoftware hantiert.

Totgeglaubte leben länger

Für Scattered Spider lief in den letzten zwei Jahren jedoch auch nicht alles rosig, wurden doch mehrere Mitglieder festgenommen, darunter die Schlüsselfigur „King Bob“ und sechs weitere führende Mitglieder Ende 2024. Diese Strafverfolgungsmaßnahmen führten Anfang 2025 zu einem vorübergehenden Rückgang der Aktivitäten der Gruppe. Doch laut Beobachtungen von Silent Push wurden ihre Phishing-Kits Anfang 2025 wieder aktiv und richteten sich erneut gegen bekannte Marken.

Experten beobachten, dass Scattered Spider seine Taktik lokal verändert. So setzt die Bande in den USA zunehmend Social-Engineering-Taktiken statt Phishing ein, um Unternehmen zu infiltrieren. Dabei

• geben sich Mitglieder der Gruppe als legitime Mitarbeiter aus,
• kontaktieren Helpdesks und
• fordern Passwortzurücksetzungen an.

Die Angreifer recherchieren hierfür detaillierte persönliche Informationen ihrer Opfer, was es Helpdesks erschwert, solche Täuschungen zu erkennen. Zusätzlich verfügt die Gruppe über Techniken wie SIM-Swapping, oft unterstützt durch Insider bei Providern, die auch schon bei der Attacke auf Harrods zum Einsatz kamen.

Druck und Täuschung

Experten empfehlen CISOs, besonders Helpdesk-Mitarbeitende gegen Social-Engineering-Angriffe von Scattered Spider zu schützen, da die Hacker sich mit Hilfe gut recherchierter Informationen als legitime Nutzer ausgeben. Die Angriffe haben es gezielt auf das menschliche Element abgesehen, sind technisch einfach und setzen auf Täuschung sowie Druck, um Sicherheitsregeln zu umgehen.

Deshalb sollten klare Erkennungs- und Meldeverfahren eingeführt und alle Beschäftigten umfassend geschult werden. Schnelles Reagieren und hohe Awareness sind aus Sicht von Security-Spezialisten entscheidend, um solche Angriffe abzuwehren.

Legitime Logins für illegale Zwecke missbraucht

Da selbst gut geschulte Helpdesk-Mitarbeiter von Scattered Spider getäuscht werden können, raten Experten von Google den CISOs, effektive Erkennungs- und Verfolgungssysteme einzusetzen. Nach dem ersten Zugang nutzen die Angreifer legitime Anmeldedaten, um interne Dokumente, Chat-Plattformen und Systeme nach sensiblen Informationen wie VPN-, MFA- oder Klartextgeheimnissen sowie Anmeldeinformationen zu durchsuchen.

Anschließend breiten sie sich schnell im Netzwerk aus und etablieren hartnäckige Zugänge, oft mithilfe legitimer Fernzugriffsprogramme, die nur schwer zu entdecken sind. Um sie zu stoppen, sind EDR-Lösungen und die Überwachung ungewöhnlichen Benutzerverhaltens entscheidend.

Lösegeld zahlen ist auch keine Lösung

Beim spektakulären Scattered-Spider-Hack 2023 auf große Casinos zahlte Caesars ein Lösegeld von 15 Millionen Dollar und kam glimpflich davon, während MGM Resorts das Lösegeld verweigerte und hohe Folgekosten in Höhe von 145 Millionen Dollar tragen musste. Dennoch raten Experten grundsätzlich davon ab, Lösegeld zu zahlen. Es fördere weitere Angriffe, biete keine Garantie für funktionierende Entschlüsselung oder Datensicherheit, und gestohlene Daten könnten trotzdem veröffentlicht werden. Stattdessen sollten Unternehmen auf starke Sicherheitskontrollen, unveränderliche Backups und klare Wiederherstellungsprozesse setzen.