Check Point deckt neue Phishing-Domains von Scattered Spider auf

Warnung vor Zunahme der Phishing-Bedrohung für Unternehmen allgemein und speziell für die Luftfahrt

[datensicherheit.de, 13.07.2025] Check Point warnt in einer aktuellen Stellungnahme vor einer zunehmenden Bedrohung durch die berüchtigte Hacker-Gruppe „Scattered Spider“. Sicherheitsforscher berichteten demnach zuletzt im Mai 2025 davon, wie die mutmaßlich mit dem „DragonForce“-Ransomware-Kartell in Verbindung stehenden Gruppe den britischen Einzelhandel angriff. Nun hat Check Point Research (CPR), die IT-Forensiker der Check Point® Software Technologies Ltd., nach eigenen Angaben über 500 Phishing-Domains identifiziert, welche gezielt auf Unternehmen – insbesondere in der Luftfahrtbranche – zielen.

Typische Phishing-Domains als neue Indikatoren

„In den vergangenen Wochen wurden mehrere Vorfälle publik, die mit der Gruppe in Verbindung gebracht werden – darunter der massive Datenverlust bei Qantas im Juli 2025, bei dem Daten von rund sechs Millionen Kunden kompromittiert wurden.“ Auch Angriffe auf Hawaiian Airlines und WestJet unterstrichen die Dringlichkeit, Sicherheitslücken zu schließen, insbesondere bei Drittanbietern im Luftfahrtsektor. CPR habe ein konsistentes Muster in der Infrastruktur der Angreifer identifizieren können: „Domains, die Unternehmensportale täuschend echt nachahmen, um Mitarbeiter zur Herausgabe von Zugangsdaten zu bewegen.“ Typische Namensmuster sind laut CPR:

• victimname-sso.com
• victimname-servicedesk.com
• victimname-okta.com

CPR-Beispiele für entdeckte Phishing-Domains:

• chipotle-sso[.]com
• gemini-servicedesk[.]com
• hubspot-okta[.]com

Diese Domains richteten sich nicht nur gegen Technologie-, Einzelhandels- und Luftfahrtunternehmen, sondern auch gegen die Fertigung, Medizintechnik, Finanzdienstleistungen und Unternehmensplattformen – ein Hinweis auf die opportunistische Natur dieser Gruppe.

Phishing-Gruppe „Scattered Spider“ wohl seit 2022 aktiv

Diese Gruppe sei seit mindestens 2022 aktiv und bestehe aus jungen Akteuren aus den USA und Großbritannien. Ihre Taktiken umfassen laut CPR:

• Aggressive Social-Engineering-Methoden (u.a. Ausnutzung der Multi-Faktor-Authentifizierung-Ermüdung der Angestellten, Vishing, SIM-Swapping).
• Einsatz von Remote-Access-Tools wie „TeamViewer“, „Ngrok“ und „Tactical RMM“.
• Nutzung von Malware wie „WarZone RAT“ und „Raccoon Stealer“.
• Ransomware-Angriffe mit „BlackCat“/„ALPHV“.

Um sich der Angriffe und Methoden von „Scattered Spider“ effektiv zu erwehren, empfiehlt Check Point:

• Monitoring verdächtiger Domains und Blockieren passender Muster.
• Mitarbeiterschulungen zu MFA-Missbrauch und „Vishing“.
• Adaptive Authentifizierung mit Anomalie-Erkennung.
• Robuste Endpunkt-Sicherheitsmaßnahmen.
• Für Luftfahrtunternehmen: Striktes „Vendor Risk“-Management und branchenspezifische „Incident Response“-Playbooks.

Weitere Informationen zum Thema:

CHECK POINT, Check Point Research, 07.07.2025
Exposing Scattered Spider: New Indicators Highlight Growing Threat to Enterprises and Aviation

CHECK POINT Cyberint, Adi Bleih, 08.05.2025
Meet Scattered Spider: The Group Currently Scattering UK Retail Organizations

CHECK POINT, Check Point Research, 06.05.2025
DragonForce Ransomware: Redefining Hybrid Extortion in 2025

datensicherheit.de, 19.02.2025
Kleine und mittlere Flughäfen: BSI stellt IT-Grundschutz-Profil bereit / BSI-Empfehlungen für Mindestabsicherung kleiner und mittlerer Flughäfen in Deutschland

datensicherheit.de, 28.06.2017
Bitkom-Positionspapier zur Cyber-Sicherheit in der Luftfahrt veröffentlicht / Branchenverband sieht bei der Pilotenausbildung Handlungsbedarf