[datensicherheit.de, 13.07.2025] Check Point warnt in einer aktuellen Stellungnahme vor einer zunehmenden Bedrohung durch die berüchtigte Hacker-Gruppe „Scattered Spider“. Sicherheitsforscher berichteten demnach zuletzt im Mai 2025 davon, wie die mutmaßlich mit dem „DragonForce“-Ransomware-Kartell in Verbindung stehenden Gruppe den britischen Einzelhandel angriff. Nun hat Check Point Research (CPR), die IT-Forensiker der Check Point® Software Technologies Ltd., nach eigenen Angaben über 500 Phishing-Domains identifiziert, welche gezielt auf Unternehmen – insbesondere in der Luftfahrtbranche – zielen.

Typische Phishing-Domains als neue Indikatoren

„In den vergangenen Wochen wurden mehrere Vorfälle publik, die mit der Gruppe in Verbindung gebracht werden – darunter der massive Datenverlust bei Qantas im Juli 2025, bei dem Daten von rund sechs Millionen Kunden kompromittiert wurden.“ Auch Angriffe auf Hawaiian Airlines und WestJet unterstrichen die Dringlichkeit, Sicherheitslücken zu schließen, insbesondere bei Drittanbietern im Luftfahrtsektor. CPR habe ein konsistentes Muster in der Infrastruktur der Angreifer identifizieren können: „Domains, die Unternehmensportale täuschend echt nachahmen, um Mitarbeiter zur Herausgabe von Zugangsdaten zu bewegen.“ Typische Namensmuster sind laut CPR:

• victimname-sso.com
• victimname-servicedesk.com
• victimname-okta.com

CPR-Beispiele für entdeckte Phishing-Domains:

• chipotle-sso[.]com
• gemini-servicedesk[.]com
• hubspot-okta[.]com

Diese Domains richteten sich nicht nur gegen Technologie-, Einzelhandels- und Luftfahrtunternehmen, sondern auch gegen die Fertigung, Medizintechnik, Finanzdienstleistungen und Unternehmensplattformen – ein Hinweis auf die opportunistische Natur dieser Gruppe.

Phishing-Gruppe „Scattered Spider“ wohl seit 2022 aktiv

Diese Gruppe sei seit mindestens 2022 aktiv und bestehe aus jungen Akteuren aus den USA und Großbritannien. Ihre Taktiken umfassen laut CPR:

• Aggressive Social-Engineering-Methoden (u.a. Ausnutzung der Multi-Faktor-Authentifizierung-Ermüdung der Angestellten, Vishing, SIM-Swapping).
• Einsatz von Remote-Access-Tools wie „TeamViewer“, „Ngrok“ und „Tactical RMM“.
• Nutzung von Malware wie „WarZone RAT“ und „Raccoon Stealer“.
• Ransomware-Angriffe mit „BlackCat“/„ALPHV“.

Um sich der Angriffe und Methoden von „Scattered Spider“ effektiv zu erwehren, empfiehlt Check Point:

• Monitoring verdächtiger Domains und Blockieren passender Muster.
• Mitarbeiterschulungen zu MFA-Missbrauch und „Vishing“.
• Adaptive Authentifizierung mit Anomalie-Erkennung.
• Robuste Endpunkt-Sicherheitsmaßnahmen.
• Für Luftfahrtunternehmen: Striktes „Vendor Risk“-Management und branchenspezifische „Incident Response“-Playbooks.

Weitere Informationen zum Thema:

CHECK POINT, Check Point Research, 07.07.2025
Exposing Scattered Spider: New Indicators Highlight Growing Threat to Enterprises and Aviation

CHECK POINT Cyberint, Adi Bleih, 08.05.2025
Meet Scattered Spider: The Group Currently Scattering UK Retail Organizations

CHECK POINT, Check Point Research, 06.05.2025
DragonForce Ransomware: Redefining Hybrid Extortion in 2025

datensicherheit.de, 19.02.2025
Kleine und mittlere Flughäfen: BSI stellt IT-Grundschutz-Profil bereit / BSI-Empfehlungen für Mindestabsicherung kleiner und mittlerer Flughäfen in Deutschland

datensicherheit.de, 28.06.2017
Bitkom-Positionspapier zur Cyber-Sicherheit in der Luftfahrt veröffentlicht / Branchenverband sieht bei der Pilotenausbildung Handlungsbedarf

[datensicherheit.de, 11.06.2025] Offenkundig trifft derzeit eine internationale Welle gezielter Cyberangriffe den Einzelhandel: Marken wie Adidas, Victoria’s Secret, The North Face und Cartier gehören laut Medienberichten zu den Opfern. Adam Marrè, „Chief Information Security Officer“ bei Arctic Wolf und ehemaliger „FBI Special Agent“, kommentiert: „Die Cybersicherheitsbranche beobachtet derzeit eine Welle von Angriffen auf den Einzelhandel – sowohl in Nordamerika als auch in Europa. Was diese Entwicklung besonders alarmierend macht, ist ihr Ausmaß und die offenbar koordinierte Vorgehensweise!“

Foto: Arctic Wolf

Adam Marrè: Es handelt sich nicht um Einzelfälle, sondern um eine systematische Kampagne gegen die Branche!

„Scattered Spider“ gilt als verdächtig, hinter aktuellen Cyberattacken auf Einzelhandel zu stecken

Marrè berichtet: „Es handelt sich nicht um Einzelfälle, sondern um eine systematische Kampagne gegen die Branche.“ Die Gruppe „Scattered Spider“, welche bereits 2023 gezielt Lebensmitteldienstleister attackiert habe und auch mit den jüngsten Angriffen auf M&S in Großbritannien in Verbindung gebracht werde, stehe nun im Verdacht, hinter den aktuellen Angriffen auf Handelsmarken wie Adidas zu stecken.

Clare Loveridge, „Vice President & General Manager EMEA“ bei Arctic Wolf, führt ergänzt aus: „Zwar erscheinen die Angriffe auf Marken wie The North Face oder Cartier wie Einzelfälle – tatsächlich sind solche Vorfälle längst zur Realität für Unternehmen geworden.“ Diese Vorfälle zeigten, dass Kriminelle oft gestohlene Zugangsdaten aus einem Angriff für den nächsten nutzten. „So fiel The North Face offenbar einer Credential-Stuffing-Attacke zum Opfer“, so Loveridge.

Dringender Handlungsbedarf für Unternehmen im Einzelhandel

Sie legt dringend nahe: „Egal ob globaler Konzern oder mittelständischer Anbieter – Organisationen sollten jetzt ihre Incident-Response-Pläne prüfen und anpassen. Wer das Thema unterschätzt, riskiert massive wirtschaftliche Schäden: Bei M&S etwa wird mit Verlusten in Höhe von 300 Millionen Pfund gerechnet.“

Entscheidend sei jetzt, die Passwörter regelmäßig zu ändern, die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren und jede werbliche E-Mail mit Vorsicht zu behandeln – „besonders wenn sie zu gut klingt, um wahr zu sein!“

Weitere Informationen zum Thema:

ntv, 03.06.2025
Namen, E-Mails, Telefonnummern / Hacker greifen Kundendaten bei Adidas, Victoria’s Secret und Cartier ab

datensicherheit.de, 04.12.2024
Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen / 5 Darktrace-Tipps für Einzelhändler zum Schutz vor Cyber-Angriffen