Im April 2025 wurde der britische Einzelhandelsgigant Marks & Spencer (M&S) Opfer eines schwerwiegenden Cyberangriffs, der umfangreiche Störungen im Betriebsablauf verursachte. Die Ursache für die massiven Ausfälle bei kontaktloser Bezahlung und dem Online-Bestellsystem ist ein Ransomware-Angriff, der mit der Hackergruppe Scattered Spider in Verbindung gebracht wird. Diese Gruppe ist für ihre hochentwickelten, sozialingenieurtechnischen Angriffe bekannt, die sich auf Großunternehmen konzentrieren. Marks & Spencer, ein Unternehmen mit über 64.000 Mitarbeitern und mehr als 1.
400 Filialen weltweit, musste aufgrund des Angriffs nicht nur seine Systeme herunterfahren, sondern auch rund 200 Lagerarbeiter vorübergehend ins Homeoffice schicken. Die finanziellen und operativen Folgen dieses Vorfalls sind enorm und werfen ein Schlaglicht auf die zunehmenden Bedrohungen durch Cyberkriminalität im Einzelhandel. Die Hacker gelangten laut Quellen bereits im Februar 2025 in das interne Netzwerk von Marks & Spencer. Dabei gelang es ihnen, die NTDS.dit-Datei zu stehlen, eine kritische Datei auf Windows-Domänencontrollern, die wichtige Passwort-Hashes enthält.
Mit diesen Zugangsdaten konnten die Angreifer lateral durch das Firmennetzwerk navigieren, weitere Daten extrahieren und letztendlich am 24. April ihr Ransomware-Payload namens DragonForce auf VMware ESXi-Hosts ausrollen. Die Verschlüsselung der virtuellen Maschinen führte zum Ausfall zahlreicher kritischer Dienste und zwang M&S zu umfangreichen Sofortmaßnahmen. Die Zusammenarbeit mit führenden Cybersecurity-Unternehmen wie CrowdStrike, Microsoft und Fenix24 zeigt den Ernst der Lage und verdeutlicht, wie komplex die Eindämmung solch ausgefeilter Angriffe ist. Scattered Spider, auch unter Bezeichnungen wie 0ktapus, Starfraud oder Octo Tempest bekannt, repräsentiert keinen klassischen, monolithischen Hackerclub, sondern ein loses Netzwerk von jungen, englischsprachigen Kriminellen mit diversen Fähigkeiten.
Ihr gemeinsames Merkmal ist die Kunst der Social-Engineering-Angriffe – darunter gezielte Phishing-Kampagnen, Multi-Faktor-Authentifizierungs-Müdigkeitstaktiken (MFA Bombing) und SIM-Swapping. Diese Methoden erlauben es ihnen, sich Zugang zu sensiblen Systemen zu verschaffen, indem sie menschliche Schwächen ausnutzen, statt allein auf digitale Sicherheitslücken zu setzen. Die Akteure hinter Scattered Spider tummeln sich auf verschiedenen Internetplattformen wie Hackerforen, Telegram und Discord, wo sie Angriffe planen und in Echtzeit koordinieren. Besonders auffällig ist die Entwicklung dieser Bedrohungsakteure, die sich von klassischem Finanzbetrug über Social-Media-Hacks hin zu hochkomplexen Cyberangriffen und Erpressungshandlungen auf Unternehmensebene entwickelt haben. Ein bedeutender Wendepunkt war der Angriff auf MGM Resorts im September 2023, bei dem Scattered Spider durch eine täuschend echte Social-Engineering-Attacke einen IT-Helpdesk täuschte und den BlackCat-Ransomware-Verschlüsselungscode auf mehr als hundert VMware ESXi-Hypervisoren ausrollte.
Dieses Ereignis markierte einen neuen Trend, dass englischsprachige Hacker verstärkt mit russischsprachigen Ransomware-Gangs zusammenarbeiten, was die Komplexität und Reichweite der Angriffe deutlich erhöhte. Nach diesem Vorfall haben Mitglieder des losen Netzwerks von Scattered Spider vermehrt als Partner verschiedener Ransomware-Operationen agiert, darunter etwa RansomHub, Qilin und seit kurzem DragonForce. Letztere Ransomware, die im Dezember 2023 gestartet wurde, bietet inzwischen sogenannte White-Label-Dienste an, also das Lizenzieren ihrer Ransomware an andere Cyberkriminelle. Dies bündelt Ressourcen und Expertise und erleichtert es weiteren Gruppierungen, hochentwickelte Ransomware-Angriffe durchzuführen, selbst wenn sie selbst nicht über das Wissen der Verschlüsselung verfügen. Die Strategie der Cyberkriminellen wird dadurch skalierbarer und schwerer abzuwehren.
Die für die Identifikation von Scattered Spider charakteristischen Angriffsmuster umfassen Phishing-Kampagnen, die unter anderem der Zielsetzung dienen, Zugangsdaten für Single-Sign-On-Systeme (SSO) zu stehlen. Hierauf folgen oft SIM-Swapping-Attacken, um Mobilfunknummern zu übernehmen und Multi-Faktor-Authentifizierungen zu umgehen. Social Engineering als Methode, IT-Hotlines zu manipulieren, ist ebenfalls ein Baustein ihres Vorgehens. Diese Komplexität macht die Verteidigung gegen solche Angriffe besonders herausfordernd, da nicht nur technische Schwachstellen adressiert werden müssen, sondern auch die Sensibilisierung von Mitarbeitern gegenüber manipulativen Methoden gesteigert werden sollte. Die Kündigung des Angriffs durch M&S und die Bestätigung des Datendiebstahls bedeuten zugleich eine große Herausforderung für die betroffenen Kunden und Geschäftspartner.
Es wurden bereits Maßnahmen ergriffen, darunter die Aufforderung zum Zurücksetzen von Passwörtern. Dennoch bleiben Sorgen um potenziellen Identitätsdiebstahl und finanziellen Schaden. Der Vorfall zeigt einmal mehr, wie wichtig eine robuste IT-Infrastruktur und effektive Sicherheitsstrategien in der heutigen Zeit sind. Parallel dazu wurde verstärkte Aufklärungsarbeit seitens der britischen und internationalen Sicherheitsbehörden vorangetrieben. Der Fokus liegt auf der aktiven Verfolgung der Mitglieder dieses locker organisierten Netzwerks.
In den letzten Jahren gab es vermehrt Festnahmen in den USA, Großbritannien und Spanien, was den Druck auf die kriminellen Strukturen erhöht hat. Trotzdem gelingt es den beteiligten Akteuren oft, neue Identitäten und Kommunikationswege zu erschließen, um ihre Aktivitäten fortzusetzen. Im Kontext des Handelssektors ist der Fall von Marks & Spencer ein Weckruf für Unternehmen jeder Größe. Die digitale Transformation bietet zahlreiche Vorteile, schafft aber auch neue Angriffspunkte für Cyberkriminelle. Um die eigene Widerstandsfähigkeit zu erhöhen, sind umfassende Sicherheitskonzepte notwendig, die sowohl technische als auch menschliche Faktoren mit einbeziehen.
Dazu gehört regelmäßiges Training von Mitarbeitern, um Angriffsmethoden wie Phishing besser zu erkennen, sowie die Implementierung mehrstufiger Authentifizierungsverfahren und kontinuierliches Monitoring der IT-Umgebung. Zudem empfiehlt sich die Kooperation mit spezialisierten Sicherheitsanbietern, die stets über aktuelle Bedrohungen informiert sind und schnell auf Vorfälle reagieren können. Die Zusammenarbeit von M&S mit CrowdStrike, Microsoft und Fenix24 illustriert beispielhaft die Bedeutung solcher Partnerschaften. Darüber hinaus müssen Unternehmen transparent gegenüber Kunden und Partnern kommunizieren, um Vertrauen zu erhalten und die Auswirkungen eines Angriffs bestmöglich zu begrenzen. Die globale Cybercrime-Landschaft wandelt sich rapide, und Gruppen wie Scattered Spider nutzen zunehmend ausgefeilte Techniken und Netzwerke, um ihre Angriffsszenarien zu realisieren.
