Wie Casino-Hacker den digitalen Zusammenbruch von Marks & Spencer verursachten

Ein Cyberangriff, der einer Bande jugendlicher Hacker zugeschrieben wird, hat den Einzelhandelsriesen Marks & Spencer in Bedrängnis gebracht: Seit dem 22. April muss das Unternehmen seinen Online-Shop und die Online-Personalbeschaffung einstellen, hat Probleme bei der Versorgung seiner Supermärkte mit frischen Produkten und musste zugeben, dass „einige persönliche Daten seiner Kunden“ gestohlen wurden, obwohl das Unternehmen behauptet, dass dies nicht auf ihre Bankdaten zutrifft. Die Bilanz lautet bisher: 14 % Kursrückgang am Aktienmarkt und 50 Millionen Euro Verlust pro Woche.

Cybersicherheitsexperten weisen darauf hin, dass es sich bei den Tätern des Cyberangriffs um eine Gruppe von Hackern im Teenager- oder Zwanzigeralter handelt, die mit dem Scattered Spider-Netzwerk in Verbindung stehen und als Subunternehmer ein Programm namens DragonForce entwickeln. „Wir stehen vor einem Fall von Crime as a Service, organisierter Kriminalität als Geschäft“, sagt Francesc Xavier Vendrell, leitender Cybersicherheitsanalyst bei Parlem Tech, der Abteilung für technologische Dienste des Betreibers Parlem. „Ihnen ist es gelungen, ein Programm in das Unternehmen einzuschleusen, das die Daten verschlüsselt hat, und sie verlangen Geld für die Entschlüsselung. Wenn das Unternehmen zahlt, trägt es zu ihrem Geschäft bei. Und sie haben keine Garantie dafür, dass sie ihnen die Schlüssel geben, dass diese funktionieren oder dass sie keine Kundendaten verkauft haben.“

Bei Scattered Spider handelt es sich vermutlich um eine Gruppe junger Leute, hauptsächlich Briten und Amerikaner, manche erst 16 Jahre alt, die sich in digitalen Foren kennengelernt und koordiniert haben. Ihr erster Angriff datiert auf das Jahr 2022 zurück und seitdem wurden ihnen rund 100 Angriffe auf Unternehmen, Telekommunikationsanbieter, Finanzinstitute und Firmen der Glücksspielbranche zugeschrieben. Aufgrund seiner Zerstreutheit, fehlenden Hierarchie und dezentralen Arbeitsweise konnte das Netzwerk trotz der Festnahme mehrerer seiner Mitglieder durch die Polizei einsatzfähig bleiben. Der jüngste Fall betraf im April Tyler Buchanan, einen 23-jährigen Schotten, der in Spanien festgenommen und von dort an die USA ausgeliefert wurde.

Zu den bislang bekanntesten Opfern von Scattered Spider zählen Caesars und MGM Resorts, zwei Casinobetreiber aus Las Vegas, von denen das Unternehmen hohe Lösegeldzahlungen forderte. Dem Cyberrisiko-Versicherungsmakler Brown & Brown zufolge soll Caesars ihnen rund 15 Millionen Euro für die Wiedereröffnung gezahlt haben.

Lesen Sie auch

Diese Hacker haben sich auf „Social Engineering“-Angriffe spezialisiert, bei denen sie gefälschte E-Mail- oder SMS-Kampagnen (Phishing oder Smishing) verwenden, um die Empfänger dazu zu verleiten, ihre persönlichen Daten preiszugeben. Im Fall von Marks & Spencer griffen sie IT-Mitarbeiter an und brachten Schlüsselmitarbeiter durch Anrufe dazu, ihre Passwörter zu aktualisieren (die Hacker von Scattered Spider sprechen Englisch als Muttersprache, daher waren sie überzeugt).

Pere Martínez, Partner beim Beratungsunternehmen ITech by Plexus, erklärt, der Angriff zeige, dass „der Hauptweg für böswilligen Zugriff auf ein Unternehmen weiterhin menschliches Versagen ist“ und dass der Angriff in diesem Fall „mit einem robusteren Dual-ID-System“ hätte verhindert werden können.

Dies scheint auch die Ansicht des britischen National Cyber ​​​​Security Centre zu sein, das neue Richtlinien für Unternehmen zur Verhinderung solcher Angriffe herausgegeben hat und zusätzliche Identitätsnachweise für IT-Mitarbeiter oder für „riskante“ Anmeldungen (wenn sich jemand zu ungewöhnlichen Zeiten oder an ungewöhnlichen Orten anmeldet) vorschreibt.

„Wir stehen vor einer Kette von Fehlern“, gibt Vendrell zu bedenken. Seiner Meinung nach „scheint es, dass Marks & Spencer weder über einen Notfallplan für den Fall eines Angriffs noch über Systeme zur schnellen Wiederherstellung, wie zum Beispiel unveränderliche Backups, verfügte.“ Ein Unternehmen kann es sich nicht leisten, so viele Tage lang in diesem Zustand zu sein.“

Fast an denselben Tagen, an denen Marks & Spencer angegriffen wurde, wurden auch Harrods und Co-op, zwei weitere große britische Einzelhändler, angegriffen. Ein angeblicher DragonForce-Sprecher behauptete gegenüber der BBC, dass hinter den drei Angriffen Gruppen stecken, die seine Viren verwenden. Die britischen Behörden konnten jedoch nicht bestätigen, dass die drei Angriffe von denselben Personen durchgeführt wurden.

Andere Angriffe: gefälschte Websites und Bots

José Luis Rojo, Cybersicherheitspartner beim Beratungsunternehmen EY, erklärt: „Der Einzelhandel ist einer der Sektoren, die am stärksten von Angriffen betroffen sind, da Hacker ihn leicht monetarisieren können. Es gibt auf diesen Sektor spezialisierte Cyberkriminelle-Gruppen.“

Ransomware oder Datendiebstahl, wie er bei Marks & Spencer zum Einsatz kam, kommt in allen Branchen vor. Der Einzelhandel ist jedoch besonders anfällig für Angriffe wie Ladendiebstahl. Wir beobachten ständig, wie Websites und Domains erstellt werden, die sich als echte Geschäfte ausgeben. Sie vertauschen Buchstaben – zum Beispiel ein O durch eine 0. Und mit einer Phishing-Kampagne leiten sie Verbraucher auf ihre gefälschte Website um. Auf diese Weise betrügen sie Sie (Sie erhalten nie den Kauf, den Sie getätigt haben) und stehlen außerdem Ihre Daten für andere Betrügereien. „Im Darknet gibt es einen echten Markt für persönliche Daten“, betont Rojo.

Lesen Sie auch

Ein weiterer typischer Angriff in diesem Sektor sind Bots , „der Albtraum der E-Commerce-Betreiber“, fügt Rojo hinzu. „Sie können sämtliche Informationen über das Geschäft erfassen, um Studien zu ihren Angeboten zu erstellen und diese zu verkaufen. Sie überlasten die Website, weil es manchmal so viele Angebote gibt. Und sie können auch sehr schnelle Transaktionen durchführen, indem sie große Mengen von Produkten im Sonderangebot kaufen, um sie später auf anderen Plattformen zu einem höheren Preis weiterzuverkaufen, was den Verbrauchern schadet.“