In der digitalen Ära stellt die Cybersicherheit für Unternehmen eine der größten Herausforderungen dar, besonders für jene im Einzelhandelssektor. Nachdem Hackergruppen den Einzelhandel im Vereinigten Königreich über einen längeren Zeitraum attackiert haben, beobachten Sicherheitsexperten inzwischen einen besorgniserregenden Trend: Diese kriminellen Akteure richten ihre Angriffe verstärkt gegen Unternehmen in den Vereinigten Staaten. Grund für dieses Verhalten sind die weitreichenden Auswirkungen der Cyberangriffe und die lukrativen Erpressungsmöglichkeiten, die sich hierdurch eröffnen. Google hat vor Kurzem eine deutliche Warnung herausgegeben: Hackergruppen, die als Scattered Spider bekannt sind, sind nun auch in den USA aktiv und führen dort komplexe Ransomware- und Erpressungsoperationen gegen den Einzelhandel durch. Diese Bedrohungsakteure haben sich bisher vor allem auf einzelne Branchen fokussiert, wobei Retail momentan im Vordergrund steht.
Experten gehen davon aus, dass sich dieser Trend fortsetzen wird, weshalb US-Einzelhändler besonders wachsam sein sollten. Die Ursprünge der aktuellen Angriffswelle liegen in Großbritannien. Dort wurden bedeutende Einzelhandelsriesen Opfer von Angriffen, die mit der DragonForce-Ransomware durchgeführt wurden. So wurde zum Beispiel die britische Kette Marks & Spencer kompromittiert, wobei die Angreifer VMware-ESXi-Server mittels eines DragonForce-Verschlüsselungstools befielen. Auch andere namhafte Händler wie Co-op und Harrods wurden Opfer von Cybervorfällen, bei denen Datendiebstahl beziehungsweise Netzwerkmanipulationen im Raum stehen.
Diese Hackerangriffe verlaufen häufig nach einem ähnlichen Muster, das durch ausgeklügelte Social-Engineering-Taktiken unterstützt wird. Die Angreifer nutzen unter anderem Phishing, SIM-Swapping und gezielte Belästigungen von Multi-Faktor-Authentifizierungssystemen, um Zugang zu internen Netzwerken und Systemen zu gewinnen. Besonders auffällig ist ihre Fähigkeit, etablierte Sicherheitsmechanismen zu umgehen, indem sie menschliche Schwachstellen ausnutzen. Das Kollektiv, das hinter diesen Angriffen steht, ist unter unterschiedlichen Namen bekannt – unter anderem Scattered Spider, UNC3944 oder Octo Tempest. Diese Gruppen bestehen aus los vernetzten individuellen Akteuren, die in sozialen Netzwerken, in Telegram-Gruppen und auf Discord-Servern kommunizieren und ihre Kampagnen in Echtzeit koordinieren.
Die Täter sind häufig jung, vielfach noch im Teenageralter, und agieren vor allem im englischsprachigen Raum. Die Kombination aus jugendlicher Dreistigkeit und technischem Know-how macht sie besonders gefährlich. Ein weiterer interessanter Aspekt ist, dass diese Hacker nicht nur eigene Operationen fahren, sondern auch als Affiliates für andere Ransomware-Gruppen fungieren. Neben der DragonForce-Ransomware wurden etwa auch BlackCat und RansomHub als Werkzeuge eingesetzt. Diese Zusammenarbeit unter Cyberkriminellen zeigt die zunehmende Professionalisierung und die Vernetzung innerhalb der Untergrundszene.
Die Bedrohung durch diese Angriffswelle hat die britische National Cyber Security Centre (NCSC) veranlasst, umfangreiche Leitlinien zur Verbesserung der Cybersicherheit herauszugeben. Trotz intensiver Untersuchungen fehlt bislang eine eindeutige Attribution der Angriffe zu einer einzelnen Gruppe, was die Arbeit der Sicherheitsbehörden erschwert. Das NCSC betont, dass Unternehmen die aktuelle Situation als „Weckruf“ verstehen sollten, der sie dazu anhält, ihre Verteidigungsmaßnahmen zu verstärken. Aus Sicht vieler Experten ist die Kernursache für den Erfolg dieser Angriffe die Kombination aus technischen Lücken und menschlichen Fehlern. Selbst die besten Sicherheitsvorkehrungen können ineffektiv sein, wenn Mitarbeiter sich beispielsweise durch Phishing-Mails hinters Licht führen lassen oder mehrere Faktoren der Authentifizierung zu ermüden drohen und dadurch Schwachstellen entstehen.
Für US-Unternehmen, speziell im Retail-Bereich, wird es daher immer wichtiger, eine Sicherheitskultur zu etablieren, die Awareness und technische Schutzmaßnahmen gleichermaßen beinhaltet. Die Implementierung von automatisierten Sicherheitssystemen, regelmäßige Schulungen der Mitarbeiter und eine robuste Netzwerkinfrastruktur können die Angriffsflächen signifikant reduzieren. Die Bedrohungsakteure haben zudem angefangen, ihre Dienste kommerziell anzubieten. DragonForce etwa wirbt inzwischen mit White-Label-Dienstleistungen, die es anderen Gruppen ermöglichen, unter deren Namen Attacken zu fahren. Diese Kommerzialisierung erhöht die Gefahrenlage, da dadurch mehr Akteure Zugang zu leistungsstarken Tools ohne eigene Programmierfähigkeiten erhalten.
