Vier in Handschellen – Die vorhergesagten Hacker hinter dem Milliardenangriff

Am Morgen des 10. Juli durchbrachen Polizeieinheiten die Stille in London und Staffordshire. In einer Reihe koordinierter Razzien wurden vier Verdächtige im Alter von 17 bis 20 Jahren festgenommen — mutmaßlich verantwortlich für den verheerenden Cyberangriff auf Marks & Spencer, das traditionsreiche britische Einzelhandelsunternehmen, das sechs Wochen zuvor digital zusammengebrochen war.

Die Festgenommenen waren keine international gesuchten Kriminellen. Es waren Jugendliche, Studierende, Freelancer — angeblich Mitglieder der Hackergruppe Scattered Spider (UNC3944), die bereits globale Konzerne wie MGM Resorts lahmgelegt hatte. Diesmal war das Ziel nicht Las Vegas, sondern London. Und das Opfer war eine britische Institution.

Die Folgen? Katastrophal. 46 Tage lang war der Onlinehandel lahmgelegt. Lieferketten brachen zusammen. Kundendaten wurden kompromittiert. Der geschätzte Gesamtschaden: über eine Milliarde Pfund.

Doch das Erschreckendste? Cy-Napea® hatte es vorhergesehen.

Bereits am 26. Mai, nur einen Tag nach dem Angriff, veröffentlichte Cy-Napea® den Artikel „The Day Marks & Spencer Fell: A Cyber Catastrophe That Shook Retail“. Darin wurden Scattered Spider als wahrscheinliche Täter genannt, die eingesetzte Ransomware DragonForce identifiziert und die Schwachstellen im Lieferantennetzwerk analysiert — lange bevor offizielle Stellen reagierten.

Damals wurde der Bericht als Spekulation abgetan. Heute liest er sich wie ein Drehbuch des Angriffs.

Die Festnahmen bestätigen, was Cy-Napea® bereits wusste: Cyberkriminalität ist jung, dezentralisiert und erschreckend effektiv. Die Ära des Hackers im dunklen Keller ist vorbei — ersetzt durch Teenager, die aus Schlafzimmern und Cafés ganze Unternehmen lahmlegen.

Marks & Spencer war nicht nur ein Opfer. Es war ein Testfeld für eine neue Generation digitaler Bedrohungen — und wir haben sie dokumentiert, bevor der Rauch sich verzog.

Zeitstrahl eines Angriffs – Wie die Hacker ihre digitale Belagerung entfesselten

Der Angriff auf Marks & Spencer war kein einzelner Moment. Es war ein sorgfältig inszenierter Cyberangriff — über Tage verteilt, mit Täuschung durchzogen und nach einem Drehbuch ausgeführt, das die Verteidigungssysteme des Unternehmens überforderte. Hier ist der rekonstruierte Zeitstrahl und die bekannten Taktiken, die das britische Einzelhandelsflaggschiff ins digitale Chaos stürzten.

21.–24. Mai: Die Vorbereitung beginnt

Ermittler gehen davon aus, dass der Angriff bereits Tage vor dem eigentlichen Ransomware-Ausbruch begann.

• Die erste Infiltration erfolgte über einen Drittanbieter im Bereich Logistik und Lagerverwaltung.

• Hacker nutzten Spear-Phishing, um sich als M&S-Mitarbeiter auszugeben und Zugangsdaten zu erlangen.

• Mit diesen Zugangsdaten konnten sie sich unbemerkt durch interne Systeme bewegen.

25. Mai: Die Detonation

Gegen 03:43 Uhr BST wurde die Ransomware innerhalb der Kerninfrastruktur von Marks & Spencer aktiviert.

• Die eingesetzte Schadsoftware: DragonForce, ein anpassbarer Ransomware-Typ aus dem RaaS-Modell (Ransomware-as-a-Service).

• Innerhalb weniger Minuten wurden Systeme verschlüsselt — betroffen waren Onlinehandel, Bestellverfolgung und Kundendatenbanken.

• IT-Mitarbeiter vermuteten zunächst interne Fehler, erkannten aber schnell den Ernst der Lage.

• Click & Collect wurde eingefroren, Backend-Server fielen aus.

• Bis zum Vormittag war der gesamte digitale Vertrieb abgeschaltet.

26. Mai: Cy-Napea® schlägt Alarm

Während die Öffentlichkeit noch ahnungslos war, veröffentlichte Cy-Napea® den Artikel: „The Day Marks & Spencer Fell: A Cyber Catastrophe That Shook Retail“
Darin wurden Scattered Spider (UNC3944) als wahrscheinliche Täter genannt, die Verwendung von DragonForce beschrieben und die Schwachstellen im Lieferantennetzwerk analysiert.

Dies war die erste öffentliche Warnung vor dem digitalen Sturm, der sich im Hintergrund entfaltete.

27. Mai – 15. Juni: Die Folgen

Marks & Spencer wechselte in den Krisenmodus.

• Die Kommunikation mit Kunden wurde eingeschränkt, interne Schadensbegrenzung hatte Priorität.

• Forensiker entdeckten den Einstiegspunkt über die Zugriffsdaten eines Lieferanten.

• Namen, Geburtsdaten und E-Mail-Adressen von Kunden wurden kompromittiert — Zahlungsdaten blieben unberührt.

• Der operative Verlust wurde später auf 300 Millionen Pfund geschätzt.

16. Juni – 9. Juli: Digitale Stille und internationale Zusammenarbeit

Im Hintergrund arbeiteten NCA, Interpol und das FBI zusammen, um die digitalen Spuren der Täter zu verfolgen.

• Kryptowährungstransaktionen halfen bei der Lokalisierung der Verdächtigen.

• Verhaltensmuster aus früheren Scattered-Spider-Angriffen wurden mit dem M&S-Fall abgeglichen.

• Zwei Verdächtige wurden durch Prahlereien in Darknet-Foren identifiziert.

10. Juli: Vier Festnahmen bei Morgendämmerung

Polizeieinheiten führten Razzien in London, Staffordshire und den West Midlands durch.

• Vier Verdächtige festgenommen: ein 17-Jähriger, zwei 19-Jährige (darunter ein lettischer Staatsbürger) und eine 20-jährige Frau.

• Sichergestellte Geräte enthielten Kommunikationsprotokolle mit Ransomware-Vermittlern, Schulungsmaterialien und Zahlungsübersichten.

Der Angriff auf Marks & Spencer war kein Zufall. Er war eine präzise ausgeführte Operation — Schritt für Schritt, mit psychologischer Raffinesse und technischer Disziplin.

Anatomie des Angriffs – Die Methoden hinter dem digitalen Zusammenbruch

Was Marks & Spencer widerfuhr, war kein Zufall. Es war ein gezielter Cyberangriff, ausgeführt mit psychologischer Raffinesse, technischer Präzision und dem Missbrauch von Vertrauen. In diesem Kapitel analysieren wir die konkreten Methoden, mit denen die Angreifer das Unternehmen lahmlegten — Taktiken, die heute zum Standardrepertoire der digitalen Unterwelt gehören.

Social Engineering: Die menschliche Schwachstelle

Der Einstieg erfolgte nicht über Code, sondern über Vertrauen.

• Die Angreifer gaben sich als M&S-Mitarbeiter und Lieferanten aus — mit gefälschten E-Mails, manipulierten LinkedIn-Profilen und sogar simulierten Videocalls.

• Drittanbieter im Logistikbereich wurden so getäuscht und öffneten unbewusst den Zugang zu internen Systemen.

• Über privilegierte Zugänge gelangten die Hacker hinter die Firewalls — ohne Alarm auszulösen.

Zugangsdaten & laterale Bewegung

Einmal im System, begannen die Hacker mit der Erkundung.

• Mit gestohlenen Zugangsdaten bewegten sie sich seitlich durch das Netzwerk, auf der Suche nach ungeschützten Schnittstellen.

• Schwach überwachte Endpunkte und temporäre Dateifreigaben wurden als Einstiegspunkte genutzt.

• Ziel war es, eine Command-and-Control-Struktur (C2) aufzubauen — unbemerkt und stabil.

Einige kompromittierte Accounts blieben bis zu 72 Stunden aktiv, bevor die Ransomware ausgelöst wurde.

Ransomware-Angriff mit DragonForce

Am 25. Mai wurde die Ransomware aktiviert — mit erschreckender Effizienz.

• Die eingesetzte Variante: DragonForce, ein modularer Ransomware-Typ aus dem RaaS-Modell (Ransomware-as-a-Service).

• Innerhalb von 15 Minuten wurden zentrale Systeme verschlüsselt.

• Die Version enthielt Exfiltrationsskripte, die Kundendaten wie Namen, E-Mails und Geburtsdaten entwendeten — während gleichzeitig interne Wiederherstellungstools blockiert wurden.

Zusammenbruch der Infrastruktur

Bis zum Mittag war Marks & Spencer digital isoliert.

• Online-Verkäufe und Click & Collect wurden gestoppt.

• Lagerverwaltungssysteme fielen aus, Bestellungen gingen verloren.

• Manuelle Wiederherstellungsversuche scheiterten — selbst Backup-Systeme waren infiziert.

Spurenverwischung

Die Angreifer deckten ihre Spuren mit professioneller Disziplin.

• Manipulierte Protokolle und Zeitstempel erschwerten die forensische Analyse.

• Kommunikation lief über Tor-Netzwerke und verschlüsselte Telegram-Chats.

• Zahlungen wurden über Kryptowährungs-Tumbler verschleiert, um Rückverfolgung zu verhindern.

Diese Vorgehensweise deutet auf Schulung oder Mentoring durch erfahrene Cyberkriminelle hin.

Marks & Spencer wurde nicht über Nacht zerstört. Es war ein schrittweiser, intelligenter Angriff — nicht durch rohe Gewalt, sondern durch das Aushebeln von Systemen, die für einfachere Bedrohungen gebaut wurden.

Wiederauferstehung – Wie Marks & Spencer die Kontrolle zurückgewann

Nach dem Angriff stand Marks & Spencer vor einem digitalen Trümmerfeld. Die Systeme waren lahmgelegt, das Vertrauen der Kunden erschüttert und der finanzielle Schaden enorm. Doch statt sich zurückzuziehen, entschied sich das Unternehmen für einen mutigen Wiederaufbau — transparent, entschlossen und zukunftsorientiert.

Unternehmensinterne Wiederherstellung

Marks & Spencer investierte 150 Millionen Pfund in eine umfassende Cybersecurity-Offensive und arbeitete mit internationalen Forensik-Teams zusammen.

Die wichtigsten Maßnahmen:

• Aufbau eines 24/7 Security Operations Center (SOC)

• Umstellung auf eine Zero-Trust-Architektur

• Schulungen für Mitarbeitende zu Phishing und Lieferantenverifikation

• Veröffentlichung von Transparenzberichten und Entschädigungsangeboten für betroffene Kunden

Laut dem Recovery-Bericht von DigitalCloudUK handelt es sich um die „größte digitale Sicherheitsmodernisierung in der Geschichte des Unternehmens“.

Wiederherstellung des digitalen Vertrauens

Neben der technischen Wiederherstellung ging es um Glaubwürdigkeit.

Neue Sicherheitsmaßnahmen:

• Zwei-Faktor-Authentifizierung für alle Kundenkonten

• Dezentrale Cloud-Backups, um Single-Point-Failures zu vermeiden

• KI-gestützte Verhaltensanalyse, um Social-Engineering-Angriffe frühzeitig zu erkennen

Laut Infosecurity Magazine könnte M&S damit zum Vorbild für die gesamte britische Einzelhandelsbranche werden.

Cy-Napea® Laborexperiment: DragonForce gestoppt

Um die Wirksamkeit unserer Technologie zu testen, simulierte Cy-Napea® den Angriff in einem geschlossenen Labor mit derselben Variante der DragonForce-Ransomware.

Ergebnisse:

• Unsere EDR-Lösung (Endpoint Detection & Response) erkannte und stoppte die Ransomware innerhalb von 3 Sekunden

• Automatisches Rollback stellte alle Systeme ohne Datenverlust wieder her

• Keine Verschlüsselung oder Datenexfiltration im Testverlauf

Das Experiment beweist: Mit proaktiver Verteidigung lassen sich selbst hochentwickelte RaaS-Angriffe neutralisieren. Die vollständige Methodik wird in einem kommenden Cy-Napea®-Whitepaper veröffentlicht.

Offenlegung & Quellen

Dieser Artikel basiert auf eigenen Analysen von Cy-Napea® sowie öffentlich zugänglichen, verifizierten Informationen.

Quellen:

• „The Day Marks & Spencer Fell: A Cyber Catastrophe That Shook Retail“ – Cy-Napea® Blog, 26. Mai 2025

• National Crime Agency – Pressemitteilung vom 10. Juli 2025 – Festnahmen im Zusammenhang mit dem Angriff

• DigitalCloudUK – M&S Cyberattacke 2025 – Offizielle Wiederherstellungsstrategie

• Infosecurity Magazine – M&S und Co-op als gemeinsames Ziel – Branchenweite Auswirkungen

• Kaspersky Threat Intelligence – Analyse zu DragonForce – Technische Bewertung der Ransomware

• BleepingComputer – Forensische Details zum Angriff – Zeitstrahl und Angriffsverlauf

Marks & Spencer hat nicht nur überlebt — es hat sich neu erfunden. Und Cy-Napea® war dabei: als Frühwarner, als Analyst und als Beweis dafür, dass digitale Verteidigung funktionieren kann.