Menschliches Versagen im Mittelpunkt der jüngsten Ransomware-Angriffe auf britische Einzelhandelsriesen

Mehrere jüngste Ransomware-Angriffe auf britische Einzelhändler zeigen, dass menschliches Versagen ein Hauptfaktor bei Verstößen gegen die Cybersicherheit ist. Die jüngsten Vorfälle bei Marks & Spencer (M&S), Harrods und Co-op zeigen, dass das menschliche Risiko eine entscheidende Rolle bei diesen Angriffen spielt. Zwar tragen technische Schwachstellen zu dem Problem bei, aber der zugrunde liegende Faktor ist oft menschliches Verhalten, sei es durch kompromittierte Anmeldedaten oder ausgenutzte Helpdesk-Protokolle. 

Marks & Spencer Angriff: Anhaltende Unterbrechung und Auswirkungen auf die Lieferanten 

Der britische Einzelhandelsriese Marks & Spencer hat in diesem Monat daran gearbeitet, die Folgen eines großen Ransomware-Angriffs zu beseitigen. Der Vorfall wird auf die als Scattered Spider bekannten Bedrohungsakteure zurückgeführt. Der Angriff störte die Zahlungssysteme, stoppte die Online-Bestellungen und zwang Hunderte von Lagerarbeitern, zu Hause zu bleiben. Zum Zeitpunkt der Erstellung dieses Artikels sind die Online-Bestellungen weiterhin unterbrochen, und das Unternehmen hat Stellenausschreibungen von seiner Website entfernt und die Einstellungsbemühungen gestoppt. In einigen Geschäften kam es zu Engpässen bei Lebensmitteln, da bestimmte Systeme zur Bewältigung des Angriffs offline genommen wurden. Lieferanten, darunter Greencore und Nails Inc., erklärten gegenüber der BBC, dass es zu Unterbrechungen gekommen sei und einige auf manuelle Prozesse zurückgegriffen hätten, um mit der Nachfrage Schritt zu halten. Zwar spielten technische Schwachstellen eine Rolle, doch die eigentliche Ursache liegt im menschlichen Risiko - insbesondere in der Ausnutzung der Zugangsdaten der Mitarbeiter.

Mehreren Berichten zufolge drangen die Angreifer in die Systeme des Unternehmens ein, indem sie die Datei NTDS.dit von einem Windows-Domänencontroller erlangten, die gehashte Anmeldedaten enthält. Diese Zugangsdaten wurden wahrscheinlich durch Social-Engineering-Taktiken wie Phishing oder Multi-Faktor-Authentifizierungs (MFA)-Bombardements erlangt, bei denen Benutzer mit MFA-Anfragen überhäuft werden, bis sie versehentlich eine genehmigen. 

 Der finanzielle Schaden des M&S-Angriffs ist erheblich. Die Unterbrechungen der Online-Bestellungen kosteten das Unternehmen etwa 3,8 Millionen Pfund pro Tag, während der allgemeine Vorfall den Marktwert des Unternehmens um 500 bis 700 Millionen Pfund schmälern könnte. Der Aktienkurs des Unternehmens sank über 14% Tage nach dem Angriff. Der Schaden verdeutlicht, wie die Überschneidung von menschlichem Versagen und Ransomware zu katastrophalen geschäftlichen Folgen führen kann. 

Social Engineering führt zu Netzwerkzugang und Datendiebstahl in Co-op Vorfall schaltet Netzwerkzugang frei 

Co-op, ein weiteres großes britisches Einzelhandelsunternehmen, wurde diesen Monat ebenfalls zum Ziel. Die Cyberkriminellen nutzten menschliche Schwachstellen aus, indem sie sich direkt an IT-Mitarbeiter wandten.Berichten zufolge setzten die Angreifer Social-Engineering-Techniken ein, um IT-Mitarbeiter davon zu überzeugen, das Passwort eines legitimen Mitarbeiters zurückzusetzen und so unbefugten Zugang zu wichtigen Systemen zu erhalten. Sobald die Angreifer in das Netzwerk eingedrungen waren, bewegten sie sich seitlich durch das Netzwerk, verschafften sich tieferen Zugang und erbeuteten möglicherweise sensible Daten, einschließlich Teilen der Mitgliederdatenbank. 

Der Angriff hat schwerwiegende Auswirkungen auf den schottischen Inseln, wo Co-op der wichtigste Lebensmitteleinzelhändler ist. Viele Geschäfte berichten, dass sie mit Engpässen bei frischen Lebensmitteln wie Milch, Obst und Gemüse zu kämpfen haben. Die Lieferungen an die Filialen in ganz Großbritannien wurden aufgrund der Auswirkungen des Angriffs auf die Logistiksysteme von Co-op unterbrochen. 

Um die Bedrohung einzudämmen, ergriff Co-op proaktive Maßnahmen wie die teilweise Deaktivierung des Internetzugangs, die Aufforderung an die Mitarbeiter, ihre Kameras während der Besprechungen eingeschaltet zu lassen, und die Anweisung an die Mitarbeiter, die Identitäten der Teilnehmer bei Anrufen zu überprüfen. Diese Maßnahmen spiegeln einen mehrstufigen Ansatz wider, um potenzielle seitliche Bewegungen nach einem Einbruch abzuschwächen. 

Das National Cyber Security Centre (NCSC) hat nach den Angriffen ebenfallseinen Leitfaden herausgegeben, in dem es Einzelhändlern rät, die Verfahren zum Zurücksetzen von Passwörtern am Helpdesk zu verstärken, um das Risiko ähnlicher Verstöße zu verringern. Diese Hinweise kommen, da die Ransomware-Gruppen ihre Taktiken weiter entwickeln. Dem jüngsten Bericht der Coalition zufolge sind die Lösegeldforderungen im Jahr 2024 um 22% auf durchschnittlich 1,1 Millionen Dollar gesunken, wobei in der zweiten Jahreshälfte die Forderungen zum ersten Mal seit über zwei Jahren unter 1 Million Dollar fielen. Dieser Rückgang wird auf einen Strategiewechsel zurückgeführt, bei dem sich die Angreifer zunehmend auf Datendiebstahl konzentrieren, anstatt sich auf verschlüsselte Erpressung zu verlassen.

Einzelhandel unter Beschuss: Auch Harrods wird von Bedrohungsakteuren angegriffen 

Harrods, das kultige britische Luxuskaufhaus, bestätigte kürzlich, dass es Ziel eines Cyberangriffs war. Als Reaktion auf die unbefugten Zugriffsversuche hat Harrods den Internetzugang an allen seinen Standorten, einschließlich des Flaggschiffs in Knightsbridge und der Online-Plattform, proaktiv eingeschränkt, um seine Systeme zu schützen. Das Unternehmen hat zwar keine genauen Einzelheiten über den Angriff bekannt gegeben, aber bestätigt, dass Social Engineering-Taktiken im Spiel waren.

Menschliche Ziele, menschliche Akteure. Scattered Spider und DragonForce: Eine auf den Menschen ausgerichtete Angriffsallianz 

Die Bedrohungsakteure, die hinter den Angriffen stehen, sind Berichten zufolge als Scattered Spider bekannt und stehen in Verbindung mit DragonForce, einer Ransomware-Gruppe, die als Ransomware-as-a-Service (RaaS)-Anbieter tätig ist. DragonForce hat die Verantwortung für die Angriffe auf M&S, Co-op und den versuchten Hack auf Harrods übernommen. Sicherheitsexperten gehen davon aus, dass DragonForce zwar die Ransomware-Infrastruktur anbietet, Scattered Spider aber zu den Partnern gehört, die sie für ihre Angriffe nutzen. Laut der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) verlassen sich diese Gruppen nicht auf technische Angriffe, sondern manipulieren Mitarbeiter durch Taktiken wie MFA-Müdigkeitsangriffe, SIM-Austausch, das Vortäuschen von IT-Supportpersonal und Phishing-Angriffe. Ihr Fokus auf das Ausnutzen menschlichen Verhaltens und nicht von Systemen unterscheidet sie von traditionelleren Ransomware-Gruppen. Viele Ransomware-Gruppen verlassen sich zunehmend nicht mehr nur auf Malware, sondern konzentrieren sich stattdessen auf den Diebstahl sensibler Daten und Zugangsdaten, um sie zu erpressen oder in Dark-Web-Foren zu verkaufen. Diese Entwicklung spiegelt eine wachsende Vorliebe für weniger nachweisbare und vielseitigere Methoden wider, auch wenn Malware für einige weiterhin ein Werkzeug bleibt.

Die Methoden von Scattered Spider bestehen oft darin, Angriffswellen zu starten, die auf mehrere Unternehmen in derselben Branche abzielen. Die NCSC hat einen Blog veröffentlicht, in dem sie darauf hinweist, dass der Einzelhandel vor Ransomware-Angriffen auf der Hut sein und Maßnahmen ergreifen sollte, um deren Potenzial abzuschwächen. 

Das Muster von Scattered Spider zielt darauf ab, die Störung und die öffentliche Aufmerksamkeit zu maximieren, indem das menschliche Risiko als zentraler Punkt der Kompromittierung genutzt wird. Ihre Zusammenarbeit mit Gruppen wie DragonForce ermöglicht es ihnen, ihre Bemühungen schnell auszuweiten, indem sie aggressives Phishing und den Diebstahl von Zugangsdaten mit dem Einsatz von Ransomware kombinieren. Sehen Sie sich Beispiele für die Techniken an, mit denen sich das Threat Intelligence Team von Mimecast Zugang verschafft. 

Jüngste Untersuchungen von Mimecast zeigen, dass 95% der Datenschutzverletzungen durch menschliches Versagen verursacht werden und nur 8% der Mitarbeiter für 80% der Sicherheitsvorfälle verantwortlich sind. Unternehmen müssen sich darauf konzentrieren, Personen mit hohem Risiko zu identifizieren und gezielte Schulungen durchzuführen, um diese Schwachstellen zu beseitigen. Da mehr als 90% der Bedrohungen per E-Mail übertragen werden, ist es wichtig, sich auf die Blockierung dieser Einstiegspunkte zu konzentrieren, um zu verhindern, dass Angreifer Zugang zu Anmeldeinformationen erhalten und sich seitlich in Systemen bewegen. Sicherheitsverantwortliche können diese wichtigen Maßnahmen ergreifen, um Schwachstellen zu verringern und die Verteidigung gegen Ransomware-Angriffe zu stärken. 

• Verstärken Sie die Schutzmaßnahmen vor der Auslieferung. Stoppen Sie Ransomware, bevor sie Benutzer erreicht, indem Sie robuste Systeme zur Erkennung von Bedrohungen implementieren. Konzentrieren Sie sich auf das Herausfiltern von Phishing-E-Mails, bösartigen Anhängen und betrügerischen Websites, um die Einstiegspunkte für Angreifer zu minimieren. Die Blockierung von E-Mail-basierten Bedrohungen ist ein grundlegender Schritt zur Verhinderung des Diebstahls von Anmeldedaten und der Abwanderung. 
• Überwachen und verstehen Sie das menschliche Risiko. Nutzen Sie Daten und Analysen, um Personen in Ihrem Unternehmen zu identifizieren, die anfälliger für Cyber-Bedrohungen sein könnten. Ergreifen Sie proaktive Schritte, um ihre Risiken durch kontextbezogenes Bewusstsein und maßgeschneiderte Aktionspläne anzugehen. 
• Rüsten Sie Ihre Mitarbeiter aus und befähigen Sie sie. Führen Sie regelmäßig gezielte Schulungen zur Cybersicherheit durch und erinnern Sie Ihre Mitarbeiter rechtzeitig daran, damit sie Bedrohungen erkennen und darauf reagieren können. Fördern Sie Verhaltensweisen wie das Überprüfen von Anfragen zum Zurücksetzen von Passwörtern und das Markieren verdächtiger Aktivitäten als Teil der täglichen Gewohnheiten. 
• Wenden Sie adaptive Sicherheitsmaßnahmen an. Entwickeln Sie flexible Sicherheitskontrollen, die sich je nach Risikostufe anpassen. Auf diese Weise können Personen oder Szenarien mit hohem Risiko zusätzlich geschützt werden, ohne den Gesamtbetrieb zu belasten. 
• Priorisieren Sie die Erkennung nach einem Einbruch. Stellen Sie sicher, dass verdächtige interne Aktivitäten genau überwacht werden. Erkennen Sie ungewöhnliches Verhalten, wie z.B. unautorisierte Datenbewegungen oder schädliche Kommunikation, und reagieren Sie schnell darauf, um weiteren Schaden durch kompromittierte Konten zu verhindern. 
• Sorgen Sie für die Ausfallsicherheit der Daten. Führen Sie sichere, redundante Backups von wichtigen Informationen und Dateien. Entwerfen Sie Systeme, die eine schnelle Wiederherstellung von Daten ermöglichen, so dass kein Lösegeld gezahlt werden muss und die Kontinuität bei Angriffen gewährleistet ist. 

Abschließende Gedanken: Vom Risiko zur Widerstandsfähigkeit 

Ransomware ist eine anhaltende Bedrohung, und die jüngsten Angriffe zeigen, dass menschliches Verhalten oft eine entscheidende Schwachstelle darstellt. Die Stärkung des Schutzes erfordert eine Konzentration auf Präventivmaßnahmen, die Ausstattung der Mitarbeiter mit dem Wissen und den Werkzeugen zur Reduzierung von Fehlern und eine genaue Überwachung auf ungewöhnliche Aktivitäten. Mimecast unterstützt diese Bemühungen, indem es mehr als 90% der E-Mail-basierten Bedrohungen an der Quelle blockiert und so verhindert, dass Angreifer Fuß fassen können. Indem sie sich mit dem menschlichen Risiko auseinandersetzen und einen umfassenden Cybersecurity-Ansatz verfolgen, können Unternehmen ihre Chancen, Opfer künftiger Angriffe zu werden, deutlich verringern.