Keväällä 2025 kolme Britannian suurimmista vähittäiskauppiaista kaatui järjestelmällisesti yhden kyberrikollisryhmän iskuihin. Marks & Spencer menetti noin £300 miljoonaa liikevoittoa, Co-opin 2 300 myymälää kohtasi tavarantoimitusvajeen, ja Harrods joutui sulkemaan osia verkkopalveluistaan. Arvioitu kokonaisvahinko ylitti £440 miljoonaa. Teon takana oli Scattered Spider, ryhmä, jonka jäseninä toimii pääosin englanninkielisiä nuoria.
Tämä tapaus on tärkein kyberturvallisuuden herätys eurooppalaisille yrityksille vuosiin. Hyökkäys ei lähtenyt liikkeelle nollapäivähaavoittuvuudesta tai kehittyneestä valtiollisesta haittaohjelmasta, vaan yhdestä puhelinsoitosta IT-tukihenkilölle.
Britannian kansallinen kyberturvallisuuskeskus NCSC nimesi tapaukset julkisesti “herätyssoitoksi kaikille organisaatioille”. Lausunto on harvinaisen suora brittiviranomaiselta ja kertoo, kuinka vakavasti valtio ottaa tämäntyyppisen sosiaalisen manipulaation uhkan. Heinäkuuhun 2025 mennessä poliisi oli pidättänyt neljä henkilöä, joista kolme oli teini-ikäisiä, hyökkäyksiin liittyen.
Mikä on Scattered Spider?
Scattered Spider, tunnettu myös nimillä UNC3944, 0ktapus ja Octo Tempest, on taloudellisesti motivoitunut kyberrikollisryhmä, joka on ollut aktiivinen vuodesta 2022. Ryhmä ei ole valtiollinen toimija, vaan koostuu pääosin englantia äidinkielenään puhuvista nuorista, joista osa on teini-ikäisiä. MITRE ATT&CK -tietokanta luokittelee ryhmän tunnuksella G1015.
Ryhmän erikoisuus on sen sosiaalisen manipulaation taso. Siinä missä useimmat kyberrikollisryhmät luottavat teknisiin haavoittuvuuksiin, Scattered Spider käyttää puhelinpohjaista tietojenkalastelua, jossa hyökkääjä soittaa yritykselle ja esiintyy vakuuttavasti työntekijänä tai IT-tukihenkilönä. Aksentti on täydellinen, koska hyökkääjät puhuvat englantia natiivisti.
CrowdStrike on seurannut ryhmää vuodesta 2022 ja luonnehtii sitä yhdeksi vaarallisimmista sosiaalisen manipulaation toimijoista. “Ryhmä kohdistaa hyökkäyksensä nopeasti useisiin saman toimialan yrityksiin lyhyessä ajassa, mikä tekee varoittamisesta muille uhreille erityisen haastavaa”, todetaan CrowdStricken analyysissa.
Easter 2025: M&S:n kaatuminen alkaa
Marks & Spencer oli hyökkääjien verkossa jo helmikuusta 2025 alkaen, kuukausia ennen kuin yhtiö edes havaitsi tilanteen. Varsinainen DragonForce-ransomware otettiin käyttöön 24. huhtikuuta 2025. M&S vahvisti julkisesti kyberiskun 22. huhtikuuta 2025 ja ilmoitti välittömästi kaikkien verkkotilausten ja puhelinpalvelujen keskeyttämisestä.
M&S:n puheenjohtaja Archie Norman antoi todistuksensa brittiparlamentille heinäkuussa 2025. Normanin mukaan hyökkäys alkoi kehittyneen sosiaalisen manipulaation avulla kolmannen osapuolen kautta, ja DragonForce-ransomwaren käyttö varmistettiin tutkinnassa. Norman kuvaili hyökkäystä hienostuneeksi, mutta tunnusti, että alkupiste oli ihmiseen kohdistunut harhauttaminen, ei tekninen haavoittuvuus.
Vahinko oli välitön ja vakava. M&S joutui sulkemaan verkkokaupan useiksi kuukausiksi. Varastonhallintajärjestelmien häiriö aiheutti myymälätason tavarakatkoksia koko Britanniassa. Yhtiön markkina-arvo laski hetkellisesti noin £1 miljardia. Lopullinen arvioitu liikevoiton menetys oli noin £300 miljoonaa.
Co-op ja Harrods: Huhtikuun hyökkäysaalto
Co-op havaitsi epäilyttävää toimintaa järjestelmissään 30. huhtikuuta 2025 ja sulki kriittiset IT-järjestelmänsä ennakoivasti. Päätös rajoitti välitöntä vahinkoa, mutta yhtiön 2 300 ruokakauppaa kärsi silti vakavista tavarantoimitusvaikeuksista.
Co-op vahvisti, että hyökkääjät pääsivät käsiksi jäsenten ja työntekijöiden henkilötietoihin. Maksukorttitiedot pysyivät kuitenkin suojattuna. DragonForce-ryhmä väitti varastaneensa jopa 20 miljoonan Co-op-jäsenen tiedot, vaikka Co-op ei ole vahvistanut tätä lukua virallisesti. Joka tapauksessa varastettu aineisto sisälsi nimiä ja yhteystietoja.
Harrods, Lontoon ikoninen tavaratalo, ilmoitti yritetystä kyberhyökkäyksestä, jonka se onnistui rajoittamaan nopeasti. Harrods sulki tilapäisesti osan verkkojärjestelmistään varotoimena. Yhtiö ei julkistanut yksityiskohtaisia vahinkotietoja.
Lakitoimisto Mishcon de Reyan asiantuntijat kuvasivat hyökkäysketjua: “Kaikki kolme tapausta todennäköisesti sisälsivät onnistuneen tai epäonnistuneen sosiaalisen manipulaation, monivaiheisen tunnistautumisen ohittamisen sekä ransomwaren käyttöönoton”.
Hyökkäysketju askel askeleelta
Scattered Spiderin modus operandi on testattu ja toistettu lukemattomia kertoja. Jokainen hyökkäys noudattaa samaa peruskaavaa, joka alkaa inhimillisen tekijän hyödyntämisestä.
Vaihe 1: Kohteen kartoitus. Hyökkääjät keräävät tietoa kohdeyrityksestä LinkedIn-profiileista, yrityksen verkkosivuilta ja sosiaalisesta mediasta. He selvittävät IT-tuen puhelinnumeron, HR-rakenteet ja mahdollisten uhrien nimet.
Vaihe 2: IT-tukeen soittaminen. Hyökkääjä soittaa IT-helpdeskin numeroon ja esiintyy vakuuttavasti yrityksen työntekijänä. Hän kertoo unohtuneesta salasanasta tai lukittuneesta tilistä ja pyytää tunnusten nollausta. Koska hyökkääjät puhuvat englantia natiivisti, sosiaalinen manipulaatio onnistuu erittäin hyvin englanninkielisessä ympäristössä.
Vaihe 3: MFA-ohitus. Monivaiheisen tunnistautumisen estäminen tapahtuu eri keinoin: push-pommi-hyökkäyksissä uhri saa niin monta vahvistuspyyntöä, että hän lopulta hyväksyy yhden. SIM-vaihdoissa hyökkääjä saa uhrin puhelinnumeron siirrettyä omaan laitteeseensa. Ääneen perustuvalla phishingillä (vishing) pyritään saamaan uhri luovuttamaan OTP-koodinsa.
Vaihe 4: Sisäverkkoon pääsy ja liikkuminen. Kun tunnukset ovat hallussa, hyökkääjä kirjautuu Microsoft Entra ID:hen, Okta-alustaan tai VDI-ympäristöön. Sieltä alkaa lateral movement, jossa etsitään arkaluonteisia järjestelmiä, palvelinoikeuksia ja varastoitavia datakohteita.
Vaihe 5: Datan exfiltrointi. Ennen ransomwaren aktivointia hyökkääjät varastavat arkaluonteisen datan. Tämä on ns. kaksoiskiristysmalli (double extortion): ensin uhkaavat julkistaa tiedot, sitten myös estävät pääsyn niihin.
Vaihe 6: DragonForce-ransomware. Lopuksi otetaan käyttöön DragonForce-alusta, joka salaa VMware ESXi -palvelimet ja muut kriittiset järjestelmät. Uhria vaaditaan maksamaan lunnaat tietojen palautuksesta ja julkistamisen estämisestä.
DragonForce: RaaS-alusta rikollisten käytössä
DragonForce toimii Ransomware-as-a-Service (RaaS) -mallilla, jossa DragonForce tarjoaa teknisen alustan ja Scattered Spider toimii affiliaattina, eli kumppanina, joka suorittaa hyökkäykset. Tämä malli on yleistynyt merkittävästi 2020-luvun puolivälin jälkeen.
Mandiant ja Google Threat Intelligence Group vahvistivat, että Scattered Spiderin taktiikalle tunnusomaiset indikaattorit yhdistyvät DragonForce-ransomwaren käyttöön UK:n vähittäiskauppahyökkäyksissä. Ryhmä on aiemmin käyttänyt myös muiden RaaS-alustojen palveluita, mikä tekee yksittäisen ryhmän tunnistamisesta vaikeaa.
DragonForce-alustan teknisiä ominaisuuksia ovat erityisesti VMware ESXi -hypervisoreiden salaus, joka lamauttaa koko virtualisointiympäristön kerralla. Yhden kohteen sijaan salataan kaikki virtuaalikoneet yhdellä operaatiolla, mikä maksimoi vahingon ja minimoi hyökkäysajan.
RaaS-mallin toimintalogiikka jakaa hyökkääjät kahteen ryhmään: alustan kehittäjiin ja affiliaatteihin. DragonForce kerää tyypillisesti 20–30 prosenttia lunnasmaksuista itselleen, affiliaatin, tässä tapauksessa Scattered Spiderin, saadessa loppuosan. Tämä rakenne houkuttelee teknisesti taitavia rikollisia, koska infrastruktuuria ei tarvitse rakentaa itse. Uusimmissa Scattered Spiderin tapauksissa ryhmä käytti DragonForce-alustaa kaksoiskiristykseen: ensin paineistettiin datan julkaisemisen uhalla, sitten otetaan kohteen IT-infrastruktuuri panttivangiksi.
DragonForce on myös kehittänyt hakkerointifoorumin, jonka kautta se rekrytoi uusia affiliaatteja ja jakaa parhaimmat käytännöt hyökkäysmetodeista. Tämä verkostomainen toimintatapa tekee ryhmän hajottamisesta lainvalvonnalle erityisen haastavaa, koska ei ole yhtä hierarkkista johtoa, vaan hajautettu verkosto itsenäisiä toimijoita.
Taloudellinen tuho: £440 miljoonan katastrofi
Britannialaisten vähittäiskauppiaiden hyökkäyksestä kärsimä yhteenlaskettu vahinko on yksi vuoden 2025 suurimmista kyberturvallisuusinsidenssien taloudellisista seurauksista Euroopassa. Alla oleva taulukko kokoaa saatavilla olevat tiedot.
| Kohde | Hyökkäyksen päivämäärä | Taloudellinen vahinko | Toiminnan keskeytys | Varastettu data |
|---|---|---|---|---|
| Marks & Spencer | 22.–24.4.2025 (julki), verkossa jo helmikuu 2025 | ~£300M menetettyjä voittoja; ~£1B markkina-arvon lasku | Verkkokauppa poissa viikoiksi/kuukausiksi, myymälätoimitusvajeet | Asiakastiedot (ei maksukortteja) |
| Co-op | 30.4.2025 (havaittu) | Ei julkistettua eurolukua; laajoja toimitusvajeiita 2 300 myymälässä | Järjestelmät suljettu ennakoivasti, toimitusketju häiriintyi | Jäsenten ja henkilöstön henkilötiedot; maksudata turvassa |
| Harrods | Huhtikuu 2025 | Ei julkistettu | Osittainen verkkopalveluiden sulku; hyökkäys saatiin pysäytettyä | Ei vahvistettu |
| Yhteensä (arvio) | Maaliskuu–huhtikuu 2025 | ~£440M | Useiden viikkojen häiriöt kaikilla kolmella | Miljoonia asiakasrekistereita |
Pelkkä M&S:n tapaus osoittaa kyberiskun todellisen laajuuden modernissa vähittäiskaupassa: online-tilausten sulkeminen, toimitusketjun häiriintyminen, asiakastietovuoto ja pitkäkestoinen mainehaitta muodostavat yhdessä tuhoisamman kokonaisuuden kuin mikään yksittäinen vahinkoerä.
Kirjanpitotoimisto Deloitten arvioiden mukaan merkittävä osa kyberiskujen taloudellisista seurauksista ei tule suoraan lunnasmaksuista, vaan liiketoiminnan keskeytymisen, toipumistyön, maineen palauttamisen ja oikeudellisten kulujen kautta. M&S:n tapauksessa nämä epäsuorat kulut olivat selvästi lunnasmaksua merkittävämmät, sillä yhtiö ei julkisesti vahvistanut maksaneensa lunnaita lainkaan.
NCSC:n vastaus ja neljä pidätystä
Britannian kansallinen kyberturvallisuuskeskus (NCSC) reagoi tapauksiin nopeasti. NCSC karakterisoi UK:n vähittäiskauppahyökkäyksiä julkisesti “herätyssoittona kaikille organisaatioille”. Kyseinen lainaus on harvinaisen selkeä julkinen kannanotto brittiviranomaiselta, joka yleensä puhuu varovaisemmin.
Merkittävin lainvalvontatoimi tuli heinäkuussa 2025, kun brittipoliisi pidätti neljä henkilöä, joista kolme oli teini-ikäisiä. Heidät pidätettiin epäiltynä rikoksista, jotka liittyivät M&S:n, Co-opin ja Harrodsin hyökkäyksiin. Tämä pidätysaalto seurasi aiempia vuoden 2024 lainvalvontatoimia, joissa oli kohdennettu Scattered Spideriin liitettyjä yksilöitä.
NCSC aloitti tutkinnan tapauksiin jo vapaakaupan aikana. Alkuvaiheessa tiedotettiin, että viranomaiset tutkivat mahdollisia yhteyksiä Scattered Spideriin, mutta virallinen attribuutio tuli hitaammin kuin julkinen spekulaatio ennakoi. Mandiant ja Google Threat Intelligence julkaisivat omat löydöksensä, joissa todettiin rikollisryhmän taktiikkojen vastaavan Scattered Spiderin tunnettuja toimintatapoja.
Historiallinen vertailu: MGM, Caesars ja nyt UK:n kaupat
Scattered Spider tuli laajaan julkisuuteen vuoden 2023 Las Vegas -hyökkäyksistä. MGM Resorts -kasinon 10 vuorokauden IT-katko aiheutti arviolta yli 100 miljoonan dollarin vahingon. Caesars Entertainment taas menetti hyökkäyksessä yli 65 miljoonaa kanta-asiakastiliä. Nyt kahden vuoden päästä sama ryhmä on yltänyt huomattavasti suurempaan taloudelliseen tuhoon Britanniassa.
| Hyökkäys | Vuosi | Toimiala | Arvioitu vahinko | Hyökkäysmetodi | Ransomware |
|---|---|---|---|---|---|
| MGM Resorts | 2023 | Viihde/kasinot | yli 100 M$ | LinkedIn-tutkimus + helpdesk-puhelu | ALPHV/BlackCat |
| Caesars Entertainment | 2023 | Viihde/kasinot | ~15 M$ lunnaat | Sosiaalinen manipulaatio | ALPHV/BlackCat |
| M&S, Co-op, Harrods | 2025 | Vähittäiskauppa | ~£440M yht. | Helpdesk-puhelu + MFA-ohitus | DragonForce |
| Vakuutusyhtiöt (Aflac, Allianz) | 2025 | Vakuutus | Ei julkistettu | Entra ID + SSO-manipulaatio | Vaihtelee |
| Yhdysvaltalaiset lentoyhtiöt | Kesä 2025 | Lentoliikenne | Ei julkistettu | VDI/helpdesk-manipulaatio | Vaihtelee |
Yksi merkittävä muutos näkyy käytetyssä ransomware-alustassa. Vuosina 2022–2023 Scattered Spider käytti pääosin ALPHV/BlackCat-alustaa. Vuodesta 2025 alkaen ryhmä on siirtynyt DragonForce-alustalle, mitä pidetään reaktiona ALPHV:n lainvalvontatoimiin vuoden 2024 aikana.
Miksi pohjoismaiset yritykset ovat haavoittuvia
Suomi ja muut Pohjoismaat eivät ole immuuneja tämäntyyppisille hyökkäyksille. Päinvastoin: pohjoismaisilla yrityksillä on useita ominaisuuksia, jotka tekevät niistä houkuttelevia kohteita tai helpottavat hyökkäyksen onnistumista.
Englanninkielinen työkulttuuri. Monet suomalaiset suuryritykset käyttävät englantia työkielenä kansainvälisissä toiminnoissaan. Kansainvälisellä IT-tukipalvelulla tai ulkoistetulla helpdeskin palvelulla ei välttämättä ole resursseja tarkistaa soittajan henkilöllisyyttä huolellisesti englanninkielisessä tilanteessa.
Pilvipalveluiden korkea käyttöaste. Pohjoismaiset yritykset ovat Euroopan kärkimaita pilvipalveluiden adoptiossa. Microsoft 365, Entra ID, Okta ja vastaavat SaaS-alustat ovat laajalti käytössä, ja juuri näihin Scattered Spider kohdistaa ensisijaisen kirjautumisensa.
DNV:n Pohjoismaat-raportti kirjasi 166 kyberiskua Suomessa, Ruotsissa, Norjassa ja Tanskassa vuoden 2025 aikana. Truesecin CISO-raportti puolestaan osoitti, että tekoäly on lyhentänyt hyökkääjien murtoajan Pohjoismaissa jo 2,4 päivään. Kun hyökkääjällä on tunnukset kädessä, aikaa on vain päiviä reagoida, ei viikkoja.
Lisäksi suomalaisissa organisaatioissa on yleistä ulkoistaa IT-helpdesk joko kansainväliselle toimittajalle tai hoitaa se sisäisesti pienellä tiimillä. Molemmissa malleissa on riskejä: ulkoistetuilla palveluilla ei välttämättä ole syvää yrityskulttuurin tuntemusta tunnistaa manipulointiyrityksiä.
Kyberturvallisuusyritys F-Secure, jonka juuret ovat Helsingissä, on korostanut suomalaisten pk-yritysten haavoittuvuutta: useilla on pilvipalvelut käytössä, mutta tietoturvaosaaminen ja -prosessit ovat jääneet teknologiakehityksen jälkeen. Erityisesti helpdesk-prosessien protokollat, jotka ohjaavat tunnusten nollauksia, puuttuvat tai ovat epäselviä monissa organisaatioissa. Supon vuoden 2026 arvion mukaan kyberoperaatiot ovat ulkomaisten tiedustelupalvelujen ensisijainen työkalu Suomeen kohdistuvassa tiedonhankinnassa, mikä tekee vahvasta sisäisestä tietoturvakulttuurista entistä tärkeämpää.
Varoitusmerkit ja hyökkäyksen tunnistaminen
Scattered Spiderin hyökkäyksillä on tunnistettavia piirteitä, joita tietoturvahenkilöstö voi seurata. Push Security on dokumentoinut ryhmän taktiikkoja kattavasti.
Epäilyttävät merkit ovat muun muassa: tuntemattomasta numerosta soittava henkilö, joka esittää olevansa yrityksen työntekijä ja pyytää IT-tukea kiireellisesti. Yhtäkkinen MFA-push-pyyntöjen vyöry omalle laitteelle ilman omaa toimintaa kertoo push-pommi-hyökkäyksestä. Uusi kirjautuminen tuntemattomasta sijainnista tai laitteesta samaan aikaan kun helpdeskin kanssa kommunikoidaan on erityisen hälyttävä yhdistelmä. SIM-kortin yllättävä lakkaaminen toimimasta omassa puhelimessa on merkki mahdollisesta SIM-vaihtohyökkäyksestä.
Tietoturva-asiantuntija Adam Bateman Push Securityltä on korostanut, että ryhmän hyökkäykset ovat usein “hyvin käsikirjoitettuja sosiaalisia tilanteita, joissa hyökkääjä hallitsee keskustelun tempoa ja pakottaa IT-tuen toimimaan kiireessä”. Kiire on sosiaalisen manipulaation tärkein työkalu.
Suojautuminen: 8 toimenpidettä yrityksille
Britannian NCSC suositteli tapauksien jälkeen konkreettisia toimenpiteitä kaikille organisaatioille. Suomalaisille yrityksille seuraavat toimet ovat erityisen relevantteja:
1. Helpdesk-henkilöllisyyden vahvistusprosessi. Jokaisella IT-tukitoiminnolla on oltava kirjallinen protokolla: miten varmistetaan soittajan henkilöllisyys ennen minkään tunnuksen nollausta. Puhelun numero tai nimi ei riitä. Käytä vaihtoehtoista todennuskanavaa, kuten ennalta sovittua koodia tai esimiehen vahvistusta.
2. Phishing-kestävä MFA. Vaihda SMS- tai push-pohjaiset MFA-menetelmät FIDO2-avaimiin tai passkeyseihin. Nämä eivät ole alttiita push-pommi-hyökkäyksille tai tietojenkalastelulle, koska avain on sidottu fyysiseen laitteeseen.
3. Privileged Access Management (PAM). Erityisoikeuksien hallinta estää sen, että yhdellä varastetulla tunnuksella pääsee koko verkkovaltakuntaan. Lähde siitä, että kaikki pääsy tehdään vähimmäisoikeuksien periaatteella.
4. VMware ESXi -ympäristöjen kovettaminen. DragonForce salaa ESXi-palvelimet ensimmäisenä. Varmista, että ESXi-palvelimiin pääsy on rajoitettu, palomuureilla suojattu ja hallintarajapinnat eristetty yleisestä verkosta.
5. Henkilöstön tietoisuuskoulutus. Jokainen työntekijä on potentiaalinen kohde sosiaalisen manipulaation kautta. Simuloi puhelinpohjaisia vishing-hyökkäyksiä säännöllisesti, ei vain sähköpostiphishingia.
6. SIM-vaihtosuojaus. Ota yhteyttä operaattoriin ja ota käyttöön PIN-suojaus SIM-kortin siirrolle. Monet operaattorit tarjoavat tätä lisäturvaominaisuutena.
7. Lokien seuranta ja hälytykset. Aseta hälytykset epätavallisille kirjautumisille, erityisesti tuntemattomista maista tai laitteista Entra ID:ssä tai Oktassa. Nopeampi havainnointi katkaisee hyökkäysketjun.
8. Varmuuskopioiden testaus ja eristys. Scattered Spider salaa järjestelmiä, mutta toimivat, verkkosegmentoidut varmuuskopiot rajoittavat toipumisaikaa merkittävästi. M&S:n pitkä toipumisaika viittaa osittain varmuuskopioiden saatavuusongelmiin.
NCSC:n Board Toolkit -ohjeistus tarjoaa johtoryhmätason tarkistuslistan kyberturvallisuuden perustasosta. Suomalaisille yrityksille on tärkeää huomata, että nämä toimenpiteet eivät vaadi valtavia investointeja, vaan ennen kaikkea prosessikurin ja tietoisuuden nostamista koko organisaatiossa. Tekninen tietoturva voi olla erinomaista, mutta jos yksi helpdeskin henkilö antaa tunnukset puhelimitse väärille henkilöille, kaikki tekniset suojaukset menevät hukkaan.
Ryhmän kehitys 2025: Vakuutuksesta lentoihin
Britannialaisten vähittäiskauppiaiden jälkeen Scattered Spider laajensi toimintaansa nopeasti. CrowdStricken mukaan ryhmä kohdistui yhdysvaltalaisiin lentoyhtiöihin kesäkuussa 2025, käyttäen samaa helpdeskimpersonaatio- ja MFA-ohitusketjua. Kohteiksi on raportoitu myös useita vakuutusyhtiöitä: Aflac, Allianz Life ja Philadelphia Indemnity Insurance.
Push Security dokumentoi toukokuussa 2025 hyökkäysaallon, jonka kohteina olivat Dior, The North Face, Cartier, Victoria’s Secret, Adidas, Coca-Cola, United Natural Foods, Klaviyo, HubSpot ja Pure Storage. Tämä lista osoittaa, että ryhmä ei ole toimialasidonnainen, vaan etsii opportunistisesti kohteita, joissa sosiaalinen manipulaatio todennäköisimmin onnistuu.
Ryhmän laajentuminen eri toimialoille nostaa merkittävän huolen: mikä tahansa suuri organisaatio, jossa on englanninkielinen IT-tuki tai kansainväliset toiminnot, on potentiaalinen kohde.
Mandiant ja Google Threat Intelligence Group korostivat toukokuussa 2025 julkaisemassaan analyysissa, että samat uhkatoimijat, jotka iskivät Britannian vähittäiskauppiaisiin, alkoivat välittömästi kohdistaa hyökkäyksiään yhdysvaltalaisiin vähittäiskauppiaisiin. Tämä osoittaa, että ryhmä soveltaa systemaattisesti toimivaksi havaittua hyökkäyskaavaa uusiin toimialoihin ja maihin ilman merkittäviä taukoja. Jokainen julkinen raportointi onnistuneesta hyökkäyksestä toimii ryhmälle myös rekrytointiviestinä uusille jäsenille.
5 ennustusta: Scattered Spider 2026
Scattered Spiderin toimintamallin ja vuoden 2025 kehityksen perusteella voidaan tehdä seuraavat arviot ryhmän toiminnasta vuoden 2026 aikana:
1. Eurooppalaiset kohteet lisääntyvät. UK-hyökkäykset osoittivat, että ryhmä toimii tehokkaasti myös brittiympäristöissä. Seuraava askel on todennäköisesti manner-Eurooppa, jossa suuryrityksillä on englanninkielistä IT-tukea ja laaja pilvi-infrastruktuuri.
2. Tekoälyavusteinen vishing yleistyy. Äänikloonausteknologia mahdollistaa entistä vakuuttavamman impersonaation. Hyökkääjä voi kloonata oikean johtajan äänen ja soittaa IT-tuelle sen nimissä. Tätä tekniikkaa on raportoitu jo pilottikäytössä muissa kyberrikollisoperaatioissa.
3. Pidätykset eivät pysäytä ryhmää. Heinäkuun 2025 neljä pidätystä ei ole häirinnyt toimintaa merkittävästi. Ryhmä on hajautettu ja rekrytoi uusia jäseniä jatkuvasti. Lainvalvontatoimet hidastavat, mutta eivät lopeta toimintaa.
4. Terveydenhuolto joutuu hyökkäyksen kohteeksi. Suomessa Vastaamo-tapaus vuonna 2020 osoitti, miten tuhoisa terveydenhuollon tietomurto voi olla. Scattered Spiderin laajeneva toimialaportfolio tekee sairaaloista ja klinikoista realistisia seuraavia kohteita.
5. MFA-ohituspalvelut kehittyvät palveluksi. Phishing-as-a-Service -alustoja, jotka automatisoivat MFA-ohituksen, tulee lisää markkinoille. Tämä madaltaa kynnystä Scattered Spiderin tyyppisten hyökkäysten toteuttamiseen myös vähemmän taitaville kyberrikollisille.
Aiheeseen liittyvää
Kyberhyökkäyksiin ja pohjoismaiseen turvallisuusympäristöön liittyvää lisälukemista:
- DNV: Pohjoismaihin 166 kyberiskua 2025 – laaja analyysi pohjoismaisista kyberuhkista
- Truesec: AI Kutisti Murtoajan 2,4 Päivään Pohjoismaissa – tekoäly nopeuttaa hyökkäyksiä
- Qilin: 1 066 kiristysiskua, 408 % kasvu – toinen merkittävä ransomware-ryhmä
- Supo 2026: Venäjä ja Kiina vakoilevat Suomea – valtiollinen kybervakoilu Suomessa
- Google vs Microsoft Authenticator: 6 Eroa, 1 Voittaja – MFA-ratkaisujen vertailu
Ulkopuolisia lähteitä
Lisätietoa aiheesta luotettavista lähteistä:
- CrowdStrike: Scattered Spider -uhka-analyysi
- MITRE ATT&CK: UNC3944/G1015
- Mandiant: UNC3944 tutkimus
- Push Security: 2025 vähittäiskauppahyökkäysten analyysi
- NCSC: Kyberturvallisuustietoisuus organisaatioille
Usein kysytyt kysymykset
Mikä on Scattered Spider?
Scattered Spider (UNC3944, 0ktapus) on taloudellisesti motivoitunut kyberrikollisryhmä, joka koostuu pääosin englantia äidinkielenään puhuvista nuorista. Ryhmä on erikoistunut sosiaalisen manipulaation kautta tapahtuviin yritysmurtoihin ja on ollut aktiivinen vuodesta 2022. MITRE ATT&CK -tietokanta luokittelee ryhmän tunnuksella G1015.
Miten Scattered Spider pääsi M&S:n järjestelmiin?
M&S:n puheenjohtaja Archie Norman vahvisti parlamentille, että hyökkäys alkoi kehittyneen sosiaalisen manipulaation avulla kolmannen osapuolen kautta. Hyökkääjät soittivat todennäköisesti IT-tukeen, esiintyivät työntekijänä ja saivat tunnukset haltuunsa. DragonForce-ransomware otettiin käyttöön 24. huhtikuuta 2025, mutta hyökkääjät olivat verkossa jo helmikuusta 2025.
Mikä on DragonForce-ransomware?
DragonForce on Ransomware-as-a-Service -alusta, jota Scattered Spider on käyttänyt affiliaattina vuodesta 2025. Alusta tarjoaa kaksoiskiristysmallin: ensin varastetaan data, sitten salataan järjestelmät. DragonForce on erityisesti kohdistunut VMware ESXi -virtualisointiympäristöihin, mikä maksimoi hyökkäyksen laajuuden yhdellä operaatiolla.
Kuinka paljon M&S menetti hyökkäyksessä?
M&S menetti arviolta £300 miljoonaa liikevoittoa kyberiskun seurauksena. Lisäksi yhtiön markkina-arvo laski hetkellisesti noin £1 miljardilla. Verkkokauppa oli poissa käytöstä useita viikkoja tai kuukausia, ja myymälöissä esiintyi tavarantoimitusvajetta ympäri Britanniaa.
Onko Scattered Spiderin jäseniä pidätetty?
Kyllä. Heinäkuussa 2025 brittipoliisi pidätti neljä henkilöä, joista kolme oli teini-ikäisiä. Heidät pidätettiin epäiltynä rikoksista, jotka liittyivät M&S:n, Co-opin ja Harrodsin hyökkäyksiin. Pidätyksiä oli tehty myös vuonna 2024 aiempien hyökkäysten yhteydessä. Ryhmä on silti jatkanut toimintaansa.
Miten suomalainen yritys voi suojautua Scattered Spiderin tyyppisiltä hyökkäyksiltä?
Tärkeimmät toimenpiteet ovat: kirjallinen henkilöllisyyden vahvistusprosessi IT-helpdeskin tunnusnollauksille, phishing-kestävä MFA (FIDO2-avaimet tai passkeyt), privileged access management, VMware ESXi -ympäristöjen kovettaminen, henkilöstön vishing-simulaatiot sekä tehokas lokien valvonta ja hälytykset epänormaaleista kirjautumisista.
