Die Verhaftung in Helsinki markiert einen Fortschritt bei der Zerschlagung einer der gefährlichsten Hacker-Kollektive der Gegenwart. Scattered Spider, auch unter den Namen 0ktapus, Octo Tempest und Muddled Libra bekannt, ist seit 2022 ein international aktive Gruppe, die hauptsächlich aus Teenagern und jungen Erwachsenen aus den USA und Großbritannien besteht.
Das Besondere an dieser Gruppe ist ihre Methodik: Statt Malware zu nutzen, setzen die Hacker auf Social Engineering, MFA-Fatigue-Attacken und SMS-Phishing. Sie rufen IT-Helpdesks an, geben sich als Mitarbeiter aus und manipulieren Administratoren dazu, Authentifizierungsdaten zurückzusetzen. Diese relativ simplen, aber hochwirksamen Techniken haben sich gegen einige der größten Unternehmen der Welt als erfolgreich erwiesen.
Die Opferliste von Scattered Spider ist beeindruckend und angespannt: Caesars Entertainment, MGM Resorts, Riot Games, MailChimp, Twilio, DoorDash, Reddit, Allianz Life – und international auch britische Einzelhandelsketten wie Co-op und Harrods. In der europäischen Perspektive besonders relevant sind die jüngsten Angriffe auf WestJet und Jaguar Land Rover.
“Bouquet” soll bereits im Alter von 16 Jahren an einem Hack einer Online-Kommunikationsplattform im März 2023 beteiligt gewesen sein. Die aktuelle Anklage umfasst sechs Punkte und wurde ursprünglich unter Verschluss gehalten, bis sie durch Gerichtsdokumente teilweise offengelegt wurden.
Das Luxusunternehmen-Szenario vom Mai 2025 illustriert, wie modern diese Attacken ablaufen: Die Hacker behaupteten, 100 Gigabyte Daten gestohlen zu haben, und forderten 8 Millionen Dollar. Trotz Ablehnung entstanden durch Netzwerk-Disruption und Sicherheitsmaßnahmen über 2 Millionen Dollar Kosten – ein Muster, das die Effektivität dieser Erpressungsmasche zeigt, unabhängig von tatsächlichen Lösegeldzahlungen.
Die Verhaftung reiht sich in eine Serie von Erfolgen gegen Scattered Spider ein. Im gleichen Monat bekannte sich bereits Tyler Robert Buchanan, angeblich ein Anführer der Gruppe, schuldig. Das signalisiert koordinierte internationale Ermittlungsarbeit, an der auch europäische Behörden beteiligt sein dürften.
Für deutsche Unternehmen und Organisationen ist die Botschaft klar: Diese Art von Social-Engineering-Attacke erfordert umfassende Sicherheitsschulung und MFA-Strategien, die über einfache Authentifizierungsapps hinausgehen. Das BSI hat bereits Warnungen zu MFA-Fatigue-Attacken ausgegeben. Im Falle eines erfolgreichen Angriffs droht nicht nur Erpressung, sondern auch DSGVO-Meldepflichten mit potenziellen Bußgeldern bis zu 4 Prozent des Jahresumsatzes.