Hacker zielen nach Angriffen in Großbritannien nun auch auf US-Einzelhändler ab, Google

Hacker der für Angriffe auf den britischen Einzelhandel bekannten Scattered Spider-Gruppe haben es nun auf US-Einzelhändler abgesehen, warnen Cybersicherheitsexperten von Google.

Die berüchtigte Cyberkriminellengruppe Scattered Spider nimmt nun aktiv Einzelhandelsunternehmen in den USA ins Visier, nachdem es bereits eine Reihe disruptiver Angriffe auf ähnliche Unternehmen im Vereinigten Königreich gegeben hatte.

Diese Warnung kommt direkt von Cybersicherheitsexperten der Google Threat Intelligence Group (GTIG) und der Google-Tochter Mandiant , die hervorheben, wie effektiv die Gruppe selbst strenge Sicherheitsmaßnahmen umgehen kann.

„Der US-Einzelhandel ist derzeit Ziel von Ransomware- und Erpressungsangriffen, von denen wir vermuten, dass sie mit UNC3944, auch bekannt als Scattered Spider, in Verbindung stehen“, erklärte John Hultquist, Cybersicherheitsanalyst bei Google.

Es ist erwähnenswert, dass Scattered Spider (alias UNC3944) der Hauptverdächtige bei den jüngsten Angriffen auf die britischen Einzelhandelsriesen Harrods, Co-op und M&S ist. Das britische National Cyber ​​Security Centre (NCSC), Mandiant und Google haben sie jedoch bisher keinem bestimmten Akteur zugeschrieben. GTIG-Forscher vermuten jedoch, dass die Hacker, die es auf US-Einzelhändler abgesehen haben, ähnliche Techniken und Vorgehensweisen anwenden wie die Täter hinter den britischen Vorfällen.

Forscher stellten eine mögliche Verbindung zwischen den Betreibern der DragonForce -Ransomware und Scattered Spider fest. Ersterer übernahm die Verantwortung für die jüngsten Angriffsversuche auf mehrere britische Einzelhändler und verwendete dabei ähnliche Taktiken wie Scattered Spider. Beide standen zudem mit der inzwischen nicht mehr existierenden RaaS -Plattform RansomHub in Verbindung.

GTIG konnte den Zusammenhang zwischen UNC3944/DragonForce und zunehmenden Datenlecks im Einzelhandel jedoch nicht bestätigen. Die zunehmende Präsenz von Einzelhandelsopfern auf Datenleck-Websites (11 % im Jahr 2025, ein Anstieg gegenüber den Vorjahren) deutet jedoch darauf hin, dass dieser Sektor für Bedrohungsakteure aufgrund der großen Anzahl an PII- und Finanzdaten und ihrer Bereitschaft, Lösegeld zu zahlen, um die Transaktionsverarbeitung aufrechtzuerhalten, attraktiv ist.

Laut früheren Berichten von Hackread.com handelt es sich bei Scattered Spider um einen finanziell motivierten Bedrohungsakteur, der für seinen Einsatz von Social-Engineering-Techniken bekannt ist. Bekanntheit erlangte er 2023 durch den Hack der Casino-Giganten MGM Resorts International und Caesars Entertainment. Zunächst zielten sie auf Telekommunikationsunternehmen ab, um SIM-Karten auszutauschen, und begannen später, Ransomware einzusetzen, um Opfer zu erpressen.

Sie sind auch für Phishing-Versuche und MFA-Bombing bekannt, bei dem sie Ziele mit Anfragen zur Multi-Faktor-Authentifizierung bombardieren. UNC3944 zielt typischerweise auf etablierte Unternehmen ab, insbesondere auf Organisationen mit großen Helpdesks und ausgelagerten IT-Abteilungen, da diese anfälliger für ihre ausgeklügelten Social-Engineering-Techniken sind.

Die Analyse von GTIG zeigt, dass UNC3944 seit Anfang 2023 ein breites Spektrum an Branchen ins Visier genommen hat, darunter Technologie, Telekommunikation, Finanzdienstleistungen, Business Process Outsourcing (BPO), Gaming, Gastgewerbe, Einzelhandel sowie Medien- und Unterhaltungsunternehmen. Geografisch gesehen sind die Hauptziele sogar noch vielfältiger und umfassen die USA, Kanada, Großbritannien, Australien, Singapur und Indien.

Der Retail & Hospitality ISAC, eine Informationsaustauschgruppe, der große Unternehmen wie Albertsons, Costco, McDonald's und Lowe's angehören, hat die Bedrohung erkannt und arbeitet mit Google zusammen, um seinen Mitgliedern detaillierte Informationen und Anleitungen zur Stärkung ihrer Abwehrmaßnahmen gegen diese sich entwickelnde Bedrohung bereitzustellen. Die Warnung von Google ist ein klares Signal an US-Einzelhändler, wachsam zu sein und ihre Sicherheitsprotokolle zu überprüfen.

Chad Cragle , CISO bei Deepwatch, einer in San Francisco, Kalifornien, ansässigen KI+Human Cyber ​​Resilience Platform:

Scattered Spider (UNC3944) nutzt ausgeklügeltes Social Engineering , um Ransomware zu infiltrieren und zu verbreiten. Um sich gegen diese Gruppe zu schützen, sichern Sie privilegierte Konten, implementieren Sie Phishing-resistente MFA und überprüfen Sie jede Helpdesk-Identitätsanfrage.

„ Einzelhändler sind besonders gefährdet, da sie große Mengen an Zahlungsdaten verarbeiten, komplexe Lieferketten verwalten und unter erheblichem Zeitdruck arbeiten, was oft zu Lösegeldzahlungen führt “ , warnte Chad. „ Unternehmen mit wertvollen Daten und kritischen Verfügbarkeitsanforderungen sind jedoch ebenso gefährdet. “