In den letzten Wochen hat eine Welle von Cyberangriffen den britischen Einzelhandel erschüttert, wobei insbesondere Co-op und Marks & Spencer (M&S) ins Visier von Cyberkriminellen geraten sind. Die Angriffe, die der berüchtigten DragonForce-Ransomware-Gruppe zugeschrieben werden, haben nicht nur erhebliche operative Störungen verursacht, sondern auch die Sicherheitsstrategien zahlreicher Unternehmen auf die Probe gestellt. Diese Ereignisse verdeutlichen die zunehmende Bedrohung durch hochentwickelte Ransomware-Angriffe und die Notwendigkeit, die Cyberabwehr in kritischen Sektoren wie dem Einzelhandel zu verstärken. Die Hintergrundgeschichte der Vorfälle und die eingesetzten Angriffstechniken liefern wertvolle Erkenntnisse für Unternehmen, Sicherheitsverantwortliche und Staatsbehörden. Ausgangspunkt der Angriffe war das lange Osterwochenende im April 2025, als die ersten offensichtlichen Einbrüche in die Systeme von M&S und Co-op auftraten.
Die Angreifer nutzten eine hochkomplexe, modular aufgebaute Ransomware, die unter dem Namen DragonForce bekannt ist. Diese Gruppierung operiert nach dem Ransomware-as-a-Service (RaaS)-Modell, das es verschiedenen Affiliate-Gruppen erlaubt, Malware mit eigenem Branding und bestimmten Funktionen einzusetzen, was eine flexible und vielseitige Angriffsstrategie ermöglicht. Die Hackergruppe ist bekannt für eine Mischung aus politisch motiviertem Hacktivismus und finanzieller Erpressung, was die Motivation hinter den Angriffen teilweise erklärbar macht. Die betrieblichen Auswirkungen bei M&S sind massiv. Seit dem 22.
April 2025 sind Kunden mehrfach mit Ausfällen und Einschränkungen konfrontiert. So funktionierten kontaktlose Zahlungsoptionen nicht mehr, ebenso war der beliebte Click-and-Collect-Service eingeschränkt oder teilweise gar nicht verfügbar. Schließlich sah sich das Unternehmen gezwungen, auch den Online-Verkauf vorübergehend einzustellen. Insider berichten, dass die IT-Mitarbeiter aufgrund der Schwere der Störung gezwungen waren, zeitweise direkt in den Bürogebäuden zu übernachten, um das Chaos zumindest teilweise zu bewältigen. Die mangelnde Vorbereitung auf solche Szenarien hat den Stresslevel erhöht und eine langsame Rückkehr in den Normalbetrieb erschwert.
Auch bei Co-op waren die Folgen dramatisch. Das Unternehmen musste mehrere IT-Dienste komplett abschalten, um die Ausbreitung des Angriffs einzudämmen. CEO Shirine Khoury-Haq informierte die Mitglieder und Kunden transparent über die Situation. Sie bezeichnete die Täter als „hochentwickelte Cyberkriminelle“ und bestätigte, dass persönliche Daten von Mitgliedern wie Namen, Geburtsdaten und Kontaktdaten kompromittiert wurden. Finanzinformationen, Passwörter oder das Einkaufsverhalten blieben hingegen unberührt.
Die Bekanntgabe führte zu großer Besorgnis bei den betroffenen Personen, da Datensicherheit im Zentrum des Kundenvertrauens steht. Der Hintergrund der DragonForce-Gruppe ist vielschichtig. Ursprünglich entstand sie im Sommer 2023 als malaysische Hacktivistengruppe mit Sympathien für palästinensische Anliegen. Im Laufe der Zeit entwickelte sie sich jedoch zu einer hybriden Bedrohung, die politische Motive mit profitablem Erpressungsgeschäft verbindet. Die Gruppe setzt gezielt auf technische Raffinesse und operiert international, wobei Ziele in Israel, Indien, Saudi-Arabien und mehreren europäischen Ländern, darunter dem Vereinigten Königreich, im Fokus standen.
Die jüngste Angriffswelle gegen den britischen Einzelhandel zeigt zudem eine zunehmende kommerzielle Zielsetzung. Technisch greifen die Angreifer auf eine Vielzahl bewährter Methoden zurück. Die initiale Kompromittierung erfolgt oft durch gezielte Phishing-Mails, mit denen Mitarbeiter zum Herunterladen von Schadsoftware verleitet werden. Darüber hinaus werden bekannte Schwachstellen in weit verbreiteten Softwarekomponenten wie Log4j oder Ivanti ausgenutzt, um unbemerkt in Systeme einzudringen. Ebenso spielen gestohlene Zugangsdaten eine wichtige Rolle, entweder durch Credential Stuffing oder durch Zugriff über unsichere Remote-Dienste wie VPN oder RDP (Remote Desktop Protocol).
Nach dem Eindringen setzen die Hacker Tools wie Cobalt Strike ein, die ursprünglich für Penetrationstests entwickelt wurden, heute aber häufig von Cyberkriminellen für Lateralbewegungen und Privilegienausweitung missbraucht werden. Weitere Hilfsmittel wie Mimikatz dienen dem Zugriff auf Passwortdaten, und Tools zur Erkundung des Netzwerks wie Advanced IP Scanner helfen bei der Ausbreitung im Netzwerk. Diese Vorgehensweise ist typisch für unbekannte, aber technisch versierte Angreifergruppen und verschärft die Herausforderung, einen Angriff rechtzeitig zu erkennen. Die eingesetzte Ransomware selbst hat sich von einer Kopie der LockBit 3.0-Variante hin zu einem eigens entwickelten Schadprogramm mit Conti-ähnlichen Elementen weiterentwickelt.
Interessanterweise verwendet DragonForce eine Kombination aus dem sicheren AES-Algorithmus zur Dateiverschlüsselung und RSA zur Sicherung der Schlüssel. Das ermöglicht eine robuste Verschlüsselung, die es den Opfern nahezu unmöglich macht, Dateien ohne den Entschlüsselungsschlüssel wiederherzustellen. Die Malware ist zudem modular aufgebaut und erlaubt es den Affiliates, individuelle Einstellungen vorzunehmen, von der Auswahl der zu verschlüsselnden Dateitypen über verzögerte Ausführung bis hin zur Nutzung verschiedener Betriebssystem-Varianten inklusive Windows, Linux und VMware. Datenexfiltration stellt eine weitere Komponente des Angriffs dar. Bei DragonForce können Affiliates über eine zentrale Steuerungsplattform kooperieren und so Datenextraktionen koordinieren.
Sensible Informationen werden offengelegt, um Druck auf die Opfer auszuüben, da eine Veröffentlichung gestohlener Daten oft als zusätzlicher Erpressungshebel dient. Die nationale Cybersicherheitsbehörde des Vereinigten Königreichs, das National Cyber Security Centre (NCSC), ist eng an der Untersuchung der Vorfälle beteiligt. Führende Vertreter äußerten, dass es noch unklar sei, ob die verschiedenen Angriffe von einer einzigen Gruppe oder unterschiedliche Akteure ausgeführt wurden. Allerdings arbeiten sie eng mit Unternehmen und Strafverfolgungsbehörden zusammen, um die Hintergründe zu klären und zukünftige Angriffe zu verhindern. Die Förderungsinitiative von sektorübergreifenden Trust-Groups soll einen Wissensaustausch ermöglichen, damit Unternehmen von den Erfahrungen anderer profitieren und gemeinsam gegen solche Bedrohungen vorgehen können.
Die Attacken auf den britischen Einzelhandel verdeutlichen eine alarmierende Entwicklung: Die IT-Infrastrukturen großer Handelsketten sind weiterhin hochgradig gefährdet. Die oft komplexen Netzwerke und die zahlreichen Schnittstellen zu externen Partnern bieten Angriffsvektoren, die von Cyberkriminellen immer effizienter ausgenutzt werden. Darüber hinaus bleibt das Thema Incident Response ein kritischer Faktor. Das Beispiel M&S zeigt, dass viele Unternehmen noch nicht hinreichend auf länger andauernde und gravierende Cybervorfälle vorbereitet sind, was sich in unkoordinierten internen Abläufen und einem erhöhten Stresslevel der Mitarbeiter niederschlägt. Neben technischen Maßnahmen sind daher organisatorische Anpassungen und Schulungen essenziell.
Ein ganzheitlicher Sicherheitsansatz, der Prävention, Erkennung und Reaktion integriert, ist notwendig, um die Verteidigungsfähigkeit zu stärken. Darüber hinaus gewinnen Kooperationen zwischen Unternehmen, Sicherheitsbehörden und der Forschung an Bedeutung, um auf dem aktuellen Stand der Bedrohungslage zu bleiben und schnell auf neue Angriffsmethoden zu reagieren. Das Beispiel DragonForce zeigt zudem, dass sich Ransomware-Gangs immer weiter professionalisieren und administrieren wie ein modernes Tech-Unternehmen. White-Labelling-Services, die es Affiliates ermöglichen, Malware mit eigenem Branding zu vertreiben, sind Teil einer Entwicklung hin zu hochgradig organisierten kriminellen Netzwerken. Die Einnahmen aus solchen Erpressungen ermöglichen es ihnen, in neue Technologien zu investieren und Angriffe immer zielgenauer zu gestalten.
Für Verbraucher hat die Situation unmittelbare Auswirkungen. Die Angst vor Datenmissbrauch wächst, und Lieferengpässe oder gestörte Dienstleistungen beeinflussen das Einkaufserlebnis negativ. Die Transparenz der betroffenen Unternehmen im Krisenmanagement ist entscheidend, um Vertrauen zu erhalten. Nur durch konsequentes und zeitnahes Informieren können Unsicherheiten reduziert werden. Zusammenfassend zeigt sich, dass die jüngsten Cyberangriffe auf Co-op und M&S ein warnendes Beispiel für die Gefahren im digitalen Zeitalter sind.
Die Kombination aus ausgefeilten Angriffstechniken, organisatorischen Schwächen und der Verlockung hoher Lösegeldzahlungen macht solche Angriffe zu einem der größten Risiken für den Einzelhandel weltweit. Die Entwicklung der DragonForce-Gruppe mahnt zur Wachsamkeit und fordert einen kontinuierlichen Ausbau der Cyberabwehrstrategien auf allen Ebenen. Nur so kann es gelingen, das Vertrauen der Kunden zu erhalten, den Geschäftsbetrieb zu sichern und zukünftigen Angriffen wirkungsvoll entgegenzutreten.
