Im April / Mai 2025 gab es eine Reihe von Angriffen auf britische Händler (z.B. Co-Op), die die Frage nach der Cybersicherheit in diesem Bereich neue stellen ließen. Verantwortlich ist wohl die Ransomware-Gruppe DragonForce, die sich von ihren Wurzeln als "Hacktivisten" hin zu Cyberkriminellen mit finanziellen Motiven entwickelte. Es gibt aber den Verdacht, dass weitere Cybergruppen wie Scattered Spider beteiligt waren. Ich fasse mal einige Informationen, die mir vorliegen, zusammen.
Anzeige
Rückblick: Cyberangriffe auf britische Händler
Im April 2025 wurden gleich drei britische Handelskonzerne: Marks & Spencer (M&S), Co-op (Lebensmittel) und Harrods (Nobelkaufhaus) Opfer von Cyberkriminellen. Die Angriffe wurden Anfang Mai 2025 bekannt – Bleeping Computer bestätigte beispielsweise im Beitrag Co-op confirms data theft after DragonForce ransomware claims attack den Hack, und dass Daten durch die DragonForce-Ransomware abgezogen worden seien. Die Welt geht hier auf diese Hacks ein und stellt Fragen nach der Cybersicherheit.
Nic Adams, Mitbegründer und CEO von 0rcus, teilte mir in einer Meldung mit, dass die Cyberangriffe bei Marks & Spencer, Co-op und Harrods koordinierte Kampagnen waren, die mit uhrwerkartiger Präzision ausgeführt wurden. Die Angriffe wurden dabei wohl von DragonForce und Scattered Spider in Cooperation, nach dem gleichen Schema ausgeführt.
Ein Helpdesk-Passwort-Reset, initiiert von den Cyberkriminellen, öffnete diese, laut Adams die Tür zur IT der betreffenden Handelsfirmen. Danach beschafften sich die Angreifer Vollzugriff, breiteten sich seitliche im Netzwerk aus und zogen Daten ab. Anschließend ließen sie die Ransomware detonieren, die selektiv Daten verschlüsselten. Im Anschluss gab es dann eine Lösegelderpressung. Die Unternehmen waren danach wochenlang im Geschäftsbetrieb gestört.
Die BBC berichtete die Tage, dass die Hacker von Marks & Spencer eine E-Mail voller Beleidigungen direkt an den Chef des Einzelhändlers schickten. Die in gebrochenem Englisch verfasste Nachricht an den CEO von M&S, Stuart Machin, wurde am 23. April von der Hackergruppe DragonForce über ein E-Mail-Konto eines Mitarbeiters verschickt. Die Cyberkriminellen forderten dort eine Bezahlung vom Opfer – klassisches Verhalten von Ransomware-Gruppen. Die E-Mail bestätigt laut BBC erstmalig den Hacke von M&S durch die DragonForce-Ransomware-Gruppe.
Anzeige
Diese Vorfälle werfen auch die Frage auf, wie es um die Sicherheit der IT im Lebensmittelhandel bestellt ist. Diese gehören nicht zu den KRITIS-Branchen, sind aber für die Versorgung der Bevölkerung essentiell. Ich erinnere an den Vorfall, den ich im Beitrag Schwedische Coop-Gruppe wurde im Dezember 2023 Opfer der Cactus-Ransomware aufgegriffen hatte. Da ging in den 800 Co-op-Filialen in Schweden nichts mehr.
DragonForce: Vom Hacktivisten zu Ransomware-Kriminellen
Experten von Check Point berichten Anfang Mai 2025, dass die Mitglieder der DragonForce Ransomware-Gruppe ihren Ursprung im Hacktivismus hatten. DragonForce wurde erstmals im Dezember 2023 gesichtet, als die Bande ihre Website DragonLeaks im Darknet startete. Seitdem berichtet sie dort über erfolgreiche Attacken. Einige Sicherheitsforscher führen die Gruppe auf DragonForce Malaysia zurück, eine Hacktivisten-Gruppierung.
Die neue Truppe an Cyberkriminellen ist jedoch weit entfernt von rein ideologisch getriebenen Angriffen. Im Jahr 2025 habe sich die Gruppe neu aufgestellt, schreibt Check Point, und arbeite mit hybrider Erpressung, bei der Ideologie und Cyberkriminalität miteinander verschmelzen.
Das stelle eine erhebliche Bedrohung in einer zunehmend fragmentierten digitalen Landschaft dar. DragonForce lässt sich seit Anfang 2025 als Ransomware-Kartell beschreiben, dessen Geschäftsmodell darauf ausgelegt ist, andere Hacker anzuziehen, die als 'Freiberufler' arbeiten, oder gerade 'arbeitslos' sind. Es winken:
- 20 Prozent Gewinnbeteiligung, was weniger als bei den meisten anderen Ransomware-as-a-Service-Modellen (RaaS) ist.
- Blanko-Ransomware-Bausätze, die Tenants buchen und frei 'etikettieren' können. Außerdem ist es möglich, eigene Binaries zu kompilieren, Datei-Endungen anzupassen und die Lösegeld-Forderung frei zu gestalten.
- Fertige Infrastruktur, die den Tenants zur Verfügung steht, was auch den Zugriff auf Tools zur Führung von Verhandlungen, auf einer verschlüsselten Plattform, umfasst. Zudem gibt es Speicherplatz auf Vorlagen für Veröffentlichungsseiten im Internet, die als 'RansomBay' benannt werden.
Nach dem Verschwinden von RansomHub im April 2025 hat DragonForce rasch die mit ihm verbundenen 'Unternehmen' übernommen und sich als agile Alternative zu den zusammengebrochenen, etablierten Betreibern positioniert, schreiben die Sicherheitsforscher. Während also das Vertrauen in namhafte RaaS-Marken schwindet, bietet DragonForce Anonymität, Flexibilität und Gewinn. Check Point Research geht im Beitrag DragonForce Ransomware: Redefining Hybrid Extortion in 2025 näher auf diese Thematik ein.
Kooperieren DragonForce und Scattered Spider?
Weiterhin liegt mir von Check Point Research noch eine Analyse von Mitte Mai 2025 zu diesen Cyberangriffen auf den britischen Handel vor. Die Sicherheitsforscher sind zum Schluss gelangt, dass DragonForce und Scattered Spider kooperieren.
Während DragonForce sich für Erpressung und Datenabfluss der Opfer verantwortlich erklärte, deuten für die Sicherheitsforscher immer mehr Hinweise darauf hin, dass auch Scattered Spider eine grundlegende Rolle bei der Durchführung dieser Angriffe gespielt haben könnte.
Scattered Spider hat sich zwar nicht öffentlich zu den Angriffen auf britische Einzelhandelsunternehmen bekannt, heißt es in der Check Point-Analyse. Doch die bei diesen Vorfällen beobachtete Taktik für den ersten Zugriff, die Ausnutzung von Cloud-Diensten und die Social-Engineering-Techniken stimmen weitgehend mit dem bekannten Verhalten der Gruppe überein. Es scheint für die Sicherheitsforscher daher immer wahrscheinlicher, dass Scattered Spider an den ersten Angriffen beteiligt war, auf die dann die Verbreitung von Ransomware und Erpressung durch DragonForce oder einen seiner Verbündeten folgte.
Scattered Spider ist bekannt für seine Methoden zum Hacken von Opfern, die auf Cloud-Netzwerken basieren und sich an Benutzeridentitäten orientieren. Die Bande entwickelte sich somit zu einem potentiellen Access Broker oder Kooperationspartner innerhalb des DragonForce-Affiliate-Modells.
Scattered Spider (auch bekannt als Roasting 0ktapus und Scatter Swine) ist ein finanziell motivierter Bedrohungsakteur und seit Mai 2022 aktiv. Die Gruppe konzentrierte sich in der Vergangenheit auf Telekommunikation und Business Process Outsourcing (BPO), hat sich jedoch angepasst und zielt nun auf einflussreiche Branchen ab, darunter kritische Infrastrukturen (KRITIS). Check Point geht in diesem Beitrag auf diese Kampagnen der Gruppe ein.
Anzeige
