{"id":159,"date":"2026-06-22T04:51:05","date_gmt":"2026-06-22T04:51:05","guid":{"rendered":"https:\/\/shattered.io\/fi\/2026\/06\/22\/scattered-spider-dragonforce-m-and-s-440m-2026\/"},"modified":"2026-06-28T23:48:31","modified_gmt":"2026-06-28T23:48:31","slug":"scattered-spider-dragonforce-m-and-s-440m-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fi\/scattered-spider-dragonforce-m-and-s-440m-2026\/","title":{"rendered":"Scattered Spider, \u00a3440M tappio: M&S kaatui 2 viikkoa [2026]"},"content":{"rendered":"\n

Kev\u00e4\u00e4ll\u00e4 2025 kolme Britannian suurimmista v\u00e4hitt\u00e4iskauppiaista kaatui j\u00e4rjestelm\u00e4llisesti yhden kyberrikollisryhm\u00e4n iskuihin. Marks & Spencer menetti noin \u00a3300 miljoonaa liikevoittoa<\/strong>, Co-opin 2 300 myym\u00e4l\u00e4\u00e4 kohtasi tavarantoimitusvajeen, ja Harrods joutui sulkemaan osia verkkopalveluistaan. Arvioitu kokonaisvahinko ylitti \u00a3440 miljoonaa<\/strong>. Teon takana oli Scattered Spider, ryhm\u00e4, jonka j\u00e4senin\u00e4 toimii p\u00e4\u00e4osin englanninkielisi\u00e4 nuoria.<\/p>\n\n\n\n

T\u00e4m\u00e4 tapaus on t\u00e4rkein kyberturvallisuuden her\u00e4tys eurooppalaisille yrityksille vuosiin. Hy\u00f6kk\u00e4ys ei l\u00e4htenyt liikkeelle nollap\u00e4iv\u00e4haavoittuvuudesta tai kehittyneest\u00e4 valtiollisesta haittaohjelmasta, vaan yhdest\u00e4 puhelinsoitosta IT-tukihenkil\u00f6lle.<\/p>\n\n\n\n

Britannian kansallinen kyberturvallisuuskeskus NCSC nimesi tapaukset julkisesti “her\u00e4tyssoitoksi kaikille organisaatioille”<\/strong>. Lausunto on harvinaisen suora brittiviranomaiselta ja kertoo, kuinka vakavasti valtio ottaa t\u00e4m\u00e4ntyyppisen sosiaalisen manipulaation uhkan. Hein\u00e4kuuhun 2025 menness\u00e4 poliisi oli pid\u00e4tt\u00e4nyt nelj\u00e4 henkil\u00f6\u00e4, joista kolme oli teini-ik\u00e4isi\u00e4, hy\u00f6kk\u00e4yksiin liittyen.<\/p>\n\n\n\n

Mik\u00e4 on Scattered Spider?<\/h2>\n\n\n\n

Scattered Spider, tunnettu my\u00f6s nimill\u00e4 UNC3944<\/strong>, 0ktapus<\/strong> ja Octo Tempest<\/strong>, on taloudellisesti motivoitunut kyberrikollisryhm\u00e4, joka on ollut aktiivinen vuodesta 2022. Ryhm\u00e4 ei ole valtiollinen toimija, vaan koostuu p\u00e4\u00e4osin englantia \u00e4idinkielen\u00e4\u00e4n puhuvista nuorista<\/strong>, joista osa on teini-ik\u00e4isi\u00e4. MITRE ATT&CK -tietokanta luokittelee ryhm\u00e4n tunnuksella G1015.<\/p>\n\n\n\n

Ryhm\u00e4n erikoisuus on sen sosiaalisen manipulaation taso. Siin\u00e4 miss\u00e4 useimmat kyberrikollisryhm\u00e4t luottavat teknisiin haavoittuvuuksiin, Scattered Spider k\u00e4ytt\u00e4\u00e4 puhelinpohjaista tietojenkalastelua<\/strong>, jossa hy\u00f6kk\u00e4\u00e4j\u00e4 soittaa yritykselle ja esiintyy vakuuttavasti ty\u00f6ntekij\u00e4n\u00e4 tai IT-tukihenkil\u00f6n\u00e4. Aksentti on t\u00e4ydellinen, koska hy\u00f6kk\u00e4\u00e4j\u00e4t puhuvat englantia natiivisti.<\/p>\n\n\n\n

CrowdStrike on seurannut ryhm\u00e4\u00e4 vuodesta 2022 ja luonnehtii sit\u00e4 yhdeksi vaarallisimmista sosiaalisen manipulaation toimijoista. “Ryhm\u00e4 kohdistaa hy\u00f6kk\u00e4yksens\u00e4 nopeasti useisiin saman toimialan yrityksiin lyhyess\u00e4 ajassa, mik\u00e4 tekee varoittamisesta muille uhreille erityisen haastavaa”<\/strong>, todetaan CrowdStricken analyysissa.<\/p>\n\n\n\n

Easter 2025: M&S:n kaatuminen alkaa<\/h2>\n\n\n\n

Marks & Spencer oli hy\u00f6kk\u00e4\u00e4jien verkossa jo helmikuusta 2025<\/strong> alkaen, kuukausia ennen kuin yhti\u00f6 edes havaitsi tilanteen. Varsinainen DragonForce-ransomware otettiin k\u00e4ytt\u00f6\u00f6n 24. huhtikuuta 2025<\/strong>. M&S vahvisti julkisesti kyberiskun 22. huhtikuuta 2025<\/strong> ja ilmoitti v\u00e4litt\u00f6m\u00e4sti kaikkien verkkotilausten ja puhelinpalvelujen keskeytt\u00e4misest\u00e4.<\/p>\n\n\n\n

M&S:n puheenjohtaja Archie Norman<\/strong> antoi todistuksensa brittiparlamentille hein\u00e4kuussa 2025. Normanin mukaan hy\u00f6kk\u00e4ys alkoi kehittyneen sosiaalisen manipulaation avulla kolmannen osapuolen kautta<\/strong>, ja DragonForce-ransomwaren k\u00e4ytt\u00f6 varmistettiin tutkinnassa. Norman kuvaili hy\u00f6kk\u00e4yst\u00e4 hienostuneeksi, mutta tunnusti, ett\u00e4 alkupiste oli ihmiseen kohdistunut harhauttaminen, ei tekninen haavoittuvuus.<\/p>\n\n\n\n

Vahinko oli v\u00e4lit\u00f6n ja vakava. M&S joutui sulkemaan verkkokaupan useiksi kuukausiksi<\/strong>. Varastonhallintaj\u00e4rjestelmien h\u00e4iri\u00f6 aiheutti myym\u00e4l\u00e4tason tavarakatkoksia koko Britanniassa. Yhti\u00f6n markkina-arvo laski hetkellisesti noin \u00a31 miljardia<\/strong>. Lopullinen arvioitu liikevoiton menetys oli noin \u00a3300 miljoonaa<\/strong>.<\/p>\n\n\n\n

Co-op ja Harrods: Huhtikuun hy\u00f6kk\u00e4ysaalto<\/h2>\n\n\n\n

Co-op havaitsi ep\u00e4ilytt\u00e4v\u00e4\u00e4 toimintaa j\u00e4rjestelmiss\u00e4\u00e4n 30. huhtikuuta 2025<\/strong> ja sulki kriittiset IT-j\u00e4rjestelm\u00e4ns\u00e4 ennakoivasti. P\u00e4\u00e4t\u00f6s rajoitti v\u00e4lit\u00f6nt\u00e4 vahinkoa, mutta yhti\u00f6n 2 300 ruokakauppaa<\/strong> k\u00e4rsi silti vakavista tavarantoimitusvaikeuksista.<\/p>\n\n\n\n

Co-op vahvisti, ett\u00e4 hy\u00f6kk\u00e4\u00e4j\u00e4t p\u00e4\u00e4siv\u00e4t k\u00e4siksi j\u00e4senten ja ty\u00f6ntekij\u00f6iden henkil\u00f6tietoihin<\/strong>. Maksukorttitiedot pysyiv\u00e4t kuitenkin suojattuna. DragonForce-ryhm\u00e4 v\u00e4itti varastaneensa jopa 20 miljoonan Co-op-j\u00e4senen tiedot<\/strong>, vaikka Co-op ei ole vahvistanut t\u00e4t\u00e4 lukua virallisesti. Joka tapauksessa varastettu aineisto sis\u00e4lsi nimi\u00e4 ja yhteystietoja.<\/p>\n\n\n\n

Harrods, Lontoon ikoninen tavaratalo, ilmoitti yritetyst\u00e4 kyberhy\u00f6kk\u00e4yksest\u00e4<\/strong>, jonka se onnistui rajoittamaan nopeasti. Harrods sulki tilap\u00e4isesti osan verkkoj\u00e4rjestelmist\u00e4\u00e4n varotoimena. Yhti\u00f6 ei julkistanut yksityiskohtaisia vahinkotietoja.<\/p>\n\n\n\n

Lakitoimisto Mishcon de Reyan asiantuntijat kuvasivat hy\u00f6kk\u00e4ysketjua: “Kaikki kolme tapausta todenn\u00e4k\u00f6isesti sis\u00e4lsiv\u00e4t onnistuneen tai ep\u00e4onnistuneen sosiaalisen manipulaation, monivaiheisen tunnistautumisen ohittamisen sek\u00e4 ransomwaren k\u00e4ytt\u00f6\u00f6noton”<\/strong>.<\/p>\n\n\n\n

Hy\u00f6kk\u00e4ysketju askel askeleelta<\/h2>\n\n\n\n

Scattered Spiderin modus operandi on testattu ja toistettu lukemattomia kertoja. Jokainen hy\u00f6kk\u00e4ys noudattaa samaa peruskaavaa, joka alkaa inhimillisen tekij\u00e4n hy\u00f6dynt\u00e4misest\u00e4.<\/p>\n\n\n\n

Vaihe 1: Kohteen kartoitus.<\/strong> Hy\u00f6kk\u00e4\u00e4j\u00e4t ker\u00e4\u00e4v\u00e4t tietoa kohdeyrityksest\u00e4 LinkedIn-profiileista, yrityksen verkkosivuilta ja sosiaalisesta mediasta. He selvitt\u00e4v\u00e4t IT-tuen puhelinnumeron, HR-rakenteet ja mahdollisten uhrien nimet.<\/p>\n\n\n\n

Vaihe 2: IT-tukeen soittaminen.<\/strong> Hy\u00f6kk\u00e4\u00e4j\u00e4 soittaa IT-helpdeskin numeroon ja esiintyy vakuuttavasti yrityksen ty\u00f6ntekij\u00e4n\u00e4. H\u00e4n kertoo unohtuneesta salasanasta tai lukittuneesta tilist\u00e4 ja pyyt\u00e4\u00e4 tunnusten nollausta. Koska hy\u00f6kk\u00e4\u00e4j\u00e4t puhuvat englantia natiivisti, sosiaalinen manipulaatio onnistuu eritt\u00e4in hyvin englanninkielisess\u00e4 ymp\u00e4rist\u00f6ss\u00e4.<\/p>\n\n\n\n

Vaihe 3: MFA-ohitus.<\/strong> Monivaiheisen tunnistautumisen est\u00e4minen tapahtuu eri keinoin: push-pommi-hy\u00f6kk\u00e4yksiss\u00e4 uhri saa niin monta vahvistuspyynt\u00f6\u00e4, ett\u00e4 h\u00e4n lopulta hyv\u00e4ksyy yhden. SIM-vaihdoissa hy\u00f6kk\u00e4\u00e4j\u00e4 saa uhrin puhelinnumeron siirretty\u00e4 omaan laitteeseensa. \u00c4\u00e4neen perustuvalla phishingill\u00e4 (vishing) pyrit\u00e4\u00e4n saamaan uhri luovuttamaan OTP-koodinsa.<\/p>\n\n\n\n

Vaihe 4: Sis\u00e4verkkoon p\u00e4\u00e4sy ja liikkuminen.<\/strong> Kun tunnukset ovat hallussa, hy\u00f6kk\u00e4\u00e4j\u00e4 kirjautuu Microsoft Entra ID:hen, Okta-alustaan tai VDI-ymp\u00e4rist\u00f6\u00f6n. Sielt\u00e4 alkaa lateral movement, jossa etsit\u00e4\u00e4n arkaluonteisia j\u00e4rjestelmi\u00e4, palvelinoikeuksia ja varastoitavia datakohteita.<\/p>\n\n\n\n

Vaihe 5: Datan exfiltrointi.<\/strong> Ennen ransomwaren aktivointia hy\u00f6kk\u00e4\u00e4j\u00e4t varastavat arkaluonteisen datan. T\u00e4m\u00e4 on ns. kaksoiskiristysmalli (double extortion): ensin uhkaavat julkistaa tiedot, sitten my\u00f6s est\u00e4v\u00e4t p\u00e4\u00e4syn niihin.<\/p>\n\n\n\n

Vaihe 6: DragonForce-ransomware.<\/strong> Lopuksi otetaan k\u00e4ytt\u00f6\u00f6n DragonForce-alusta, joka salaa VMware ESXi -palvelimet ja muut kriittiset j\u00e4rjestelm\u00e4t. Uhria vaaditaan maksamaan lunnaat tietojen palautuksesta ja julkistamisen est\u00e4misest\u00e4.<\/p>\n\n\n\n

DragonForce: RaaS-alusta rikollisten k\u00e4yt\u00f6ss\u00e4<\/h2>\n\n\n\n

DragonForce toimii Ransomware-as-a-Service (RaaS)<\/strong> -mallilla, jossa DragonForce tarjoaa teknisen alustan ja Scattered Spider toimii affiliaattina, eli kumppanina, joka suorittaa hy\u00f6kk\u00e4ykset. T\u00e4m\u00e4 malli on yleistynyt merkitt\u00e4v\u00e4sti 2020-luvun puoliv\u00e4lin j\u00e4lkeen.<\/p>\n\n\n\n

Mandiant ja Google Threat Intelligence Group vahvistivat, ett\u00e4 Scattered Spiderin taktiikalle tunnusomaiset indikaattorit yhdistyv\u00e4t DragonForce-ransomwaren k\u00e4ytt\u00f6\u00f6n UK:n v\u00e4hitt\u00e4iskauppahy\u00f6kk\u00e4yksiss\u00e4<\/strong>. Ryhm\u00e4 on aiemmin k\u00e4ytt\u00e4nyt my\u00f6s muiden RaaS-alustojen palveluita, mik\u00e4 tekee yksitt\u00e4isen ryhm\u00e4n tunnistamisesta vaikeaa.<\/p>\n\n\n\n

DragonForce-alustan teknisi\u00e4 ominaisuuksia ovat erityisesti VMware ESXi -hypervisoreiden salaus, joka lamauttaa koko virtualisointiymp\u00e4rist\u00f6n kerralla. Yhden kohteen sijaan salataan kaikki virtuaalikoneet yhdell\u00e4 operaatiolla, mik\u00e4 maksimoi vahingon ja minimoi hy\u00f6kk\u00e4ysajan.<\/p>\n\n\n\n

RaaS-mallin toimintalogiikka jakaa hy\u00f6kk\u00e4\u00e4j\u00e4t kahteen ryhm\u00e4\u00e4n: alustan kehitt\u00e4jiin ja affiliaatteihin. DragonForce ker\u00e4\u00e4 tyypillisesti 20\u201330 prosenttia lunnasmaksuista<\/strong> itselleen, affiliaatin, t\u00e4ss\u00e4 tapauksessa Scattered Spiderin, saadessa loppuosan. T\u00e4m\u00e4 rakenne houkuttelee teknisesti taitavia rikollisia, koska infrastruktuuria ei tarvitse rakentaa itse. Uusimmissa Scattered Spiderin tapauksissa ryhm\u00e4 k\u00e4ytti DragonForce-alustaa kaksoiskiristykseen: ensin paineistettiin datan julkaisemisen uhalla, sitten otetaan kohteen IT-infrastruktuuri panttivangiksi.<\/p>\n\n\n\n

DragonForce on my\u00f6s kehitt\u00e4nyt hakkerointifoorumin, jonka kautta se rekrytoi uusia affiliaatteja ja jakaa parhaimmat k\u00e4yt\u00e4nn\u00f6t hy\u00f6kk\u00e4ysmetodeista. T\u00e4m\u00e4 verkostomainen toimintatapa tekee ryhm\u00e4n hajottamisesta lainvalvonnalle erityisen haastavaa, koska ei ole yht\u00e4 hierarkkista johtoa, vaan hajautettu verkosto itsen\u00e4isi\u00e4 toimijoita.<\/p>\n\n\n\n

Taloudellinen tuho: \u00a3440 miljoonan katastrofi<\/h2>\n\n\n\n

Britannialaisten v\u00e4hitt\u00e4iskauppiaiden hy\u00f6kk\u00e4yksest\u00e4 k\u00e4rsim\u00e4 yhteenlaskettu vahinko on yksi vuoden 2025 suurimmista kyberturvallisuusinsidenssien taloudellisista seurauksista Euroopassa. Alla oleva taulukko kokoaa saatavilla olevat tiedot.<\/p>\n\n\n\n

Kohde<\/th>Hy\u00f6kk\u00e4yksen p\u00e4iv\u00e4m\u00e4\u00e4r\u00e4<\/th>Taloudellinen vahinko<\/th>Toiminnan keskeytys<\/th>Varastettu data<\/th><\/tr><\/thead>
Marks & Spencer<\/strong><\/td>22.\u201324.4.2025 (julki), verkossa jo helmikuu 2025<\/td>~\u00a3300M menetettyj\u00e4 voittoja; ~\u00a31B markkina-arvon lasku<\/td>Verkkokauppa poissa viikoiksi\/kuukausiksi, myym\u00e4l\u00e4toimitusvajeet<\/td>Asiakastiedot (ei maksukortteja)<\/td><\/tr>
Co-op<\/strong><\/td>30.4.2025 (havaittu)<\/td>Ei julkistettua eurolukua; laajoja toimitusvajeiita 2 300 myym\u00e4l\u00e4ss\u00e4<\/td>J\u00e4rjestelm\u00e4t suljettu ennakoivasti, toimitusketju h\u00e4iriintyi<\/td>J\u00e4senten ja henkil\u00f6st\u00f6n henkil\u00f6tiedot; maksudata turvassa<\/td><\/tr>
Harrods<\/strong><\/td>Huhtikuu 2025<\/td>Ei julkistettu<\/td>Osittainen verkkopalveluiden sulku; hy\u00f6kk\u00e4ys saatiin pys\u00e4ytetty\u00e4<\/td>Ei vahvistettu<\/td><\/tr>
Yhteens\u00e4 (arvio)<\/strong><\/td>Maaliskuu\u2013huhtikuu 2025<\/td>~\u00a3440M<\/strong><\/td>Useiden viikkojen h\u00e4iri\u00f6t kaikilla kolmella<\/td>Miljoonia asiakasrekistereita<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Pelkk\u00e4 M&S:n tapaus osoittaa kyberiskun todellisen laajuuden modernissa v\u00e4hitt\u00e4iskaupassa: online-tilausten sulkeminen, toimitusketjun h\u00e4iriintyminen, asiakastietovuoto ja pitk\u00e4kestoinen mainehaitta muodostavat yhdess\u00e4 tuhoisamman kokonaisuuden kuin mik\u00e4\u00e4n yksitt\u00e4inen vahinkoer\u00e4.<\/p>\n\n\n\n

Kirjanpitotoimisto Deloitten arvioiden mukaan merkitt\u00e4v\u00e4 osa kyberiskujen taloudellisista seurauksista ei tule suoraan lunnasmaksuista, vaan liiketoiminnan keskeytymisen, toipumisty\u00f6n, maineen palauttamisen ja oikeudellisten kulujen kautta<\/strong>. M&S:n tapauksessa n\u00e4m\u00e4 ep\u00e4suorat kulut olivat selv\u00e4sti lunnasmaksua merkitt\u00e4v\u00e4mm\u00e4t, sill\u00e4 yhti\u00f6 ei julkisesti vahvistanut maksaneensa lunnaita lainkaan.<\/p>\n\n\n\n

NCSC:n vastaus ja nelj\u00e4 pid\u00e4tyst\u00e4<\/h2>\n\n\n\n

Britannian kansallinen kyberturvallisuuskeskus (NCSC) reagoi tapauksiin nopeasti. NCSC karakterisoi UK:n v\u00e4hitt\u00e4iskauppahy\u00f6kk\u00e4yksi\u00e4 julkisesti “her\u00e4tyssoittona kaikille organisaatioille”<\/strong>. Kyseinen lainaus on harvinaisen selke\u00e4 julkinen kannanotto brittiviranomaiselta, joka yleens\u00e4 puhuu varovaisemmin.<\/p>\n\n\n\n

Merkitt\u00e4vin lainvalvontatoimi tuli hein\u00e4kuussa 2025<\/strong>, kun brittipoliisi pid\u00e4tti nelj\u00e4 henkil\u00f6\u00e4<\/strong>, joista kolme oli teini-ik\u00e4isi\u00e4<\/strong>. Heid\u00e4t pid\u00e4tettiin ep\u00e4iltyn\u00e4 rikoksista, jotka liittyiv\u00e4t M&S:n, Co-opin ja Harrodsin hy\u00f6kk\u00e4yksiin. T\u00e4m\u00e4 pid\u00e4tysaalto seurasi aiempia vuoden 2024 lainvalvontatoimia, joissa oli kohdennettu Scattered Spideriin liitettyj\u00e4 yksil\u00f6it\u00e4.<\/p>\n\n\n\n

NCSC aloitti tutkinnan tapauksiin jo vapaakaupan aikana. Alkuvaiheessa tiedotettiin, ett\u00e4 viranomaiset tutkivat mahdollisia yhteyksi\u00e4 Scattered Spideriin<\/strong>, mutta virallinen attribuutio tuli hitaammin kuin julkinen spekulaatio ennakoi. Mandiant ja Google Threat Intelligence julkaisivat omat l\u00f6yd\u00f6ksens\u00e4, joissa todettiin rikollisryhm\u00e4n taktiikkojen vastaavan Scattered Spiderin tunnettuja toimintatapoja.<\/p>\n\n\n\n

Historiallinen vertailu: MGM, Caesars ja nyt UK:n kaupat<\/h2>\n\n\n\n

Scattered Spider tuli laajaan julkisuuteen vuoden 2023 Las Vegas -hy\u00f6kk\u00e4yksist\u00e4. MGM Resorts -kasinon 10 vuorokauden IT-katko aiheutti arviolta yli 100 miljoonan dollarin vahingon<\/strong>. Caesars Entertainment taas menetti hy\u00f6kk\u00e4yksess\u00e4 yli 65 miljoonaa kanta-asiakastili\u00e4<\/strong>. Nyt kahden vuoden p\u00e4\u00e4st\u00e4 sama ryhm\u00e4 on ylt\u00e4nyt huomattavasti suurempaan taloudelliseen tuhoon Britanniassa.<\/p>\n\n\n\n

Hy\u00f6kk\u00e4ys<\/th>Vuosi<\/th>Toimiala<\/th>Arvioitu vahinko<\/th>Hy\u00f6kk\u00e4ysmetodi<\/th>Ransomware<\/th><\/tr><\/thead>
MGM Resorts<\/strong><\/td>2023<\/td>Viihde\/kasinot<\/td>yli 100 M$<\/td>LinkedIn-tutkimus + helpdesk-puhelu<\/td>ALPHV\/BlackCat<\/td><\/tr>
Caesars Entertainment<\/strong><\/td>2023<\/td>Viihde\/kasinot<\/td>~15 M$ lunnaat<\/td>Sosiaalinen manipulaatio<\/td>ALPHV\/BlackCat<\/td><\/tr>
M&S, Co-op, Harrods<\/strong><\/td>2025<\/td>V\u00e4hitt\u00e4iskauppa<\/td>~\u00a3440M yht.<\/td>Helpdesk-puhelu + MFA-ohitus<\/td>DragonForce<\/td><\/tr>
Vakuutusyhti\u00f6t (Aflac, Allianz)<\/strong><\/td>2025<\/td>Vakuutus<\/td>Ei julkistettu<\/td>Entra ID + SSO-manipulaatio<\/td>Vaihtelee<\/td><\/tr>
Yhdysvaltalaiset lentoyhti\u00f6t<\/strong><\/td>Kes\u00e4 2025<\/td>Lentoliikenne<\/td>Ei julkistettu<\/td>VDI\/helpdesk-manipulaatio<\/td>Vaihtelee<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Yksi merkitt\u00e4v\u00e4 muutos n\u00e4kyy k\u00e4ytetyss\u00e4 ransomware-alustassa. Vuosina 2022\u20132023 Scattered Spider k\u00e4ytti p\u00e4\u00e4osin ALPHV\/BlackCat-alustaa. Vuodesta 2025 alkaen ryhm\u00e4 on siirtynyt DragonForce-alustalle, mit\u00e4 pidet\u00e4\u00e4n reaktiona ALPHV:n lainvalvontatoimiin vuoden 2024 aikana.<\/p>\n\n\n\n

Miksi pohjoismaiset yritykset ovat haavoittuvia<\/h2>\n\n\n\n

Suomi ja muut Pohjoismaat eiv\u00e4t ole immuuneja t\u00e4m\u00e4ntyyppisille hy\u00f6kk\u00e4yksille. P\u00e4invastoin: pohjoismaisilla yrityksill\u00e4 on useita ominaisuuksia, jotka tekev\u00e4t niist\u00e4 houkuttelevia kohteita tai helpottavat hy\u00f6kk\u00e4yksen onnistumista.<\/p>\n\n\n\n

Englanninkielinen ty\u00f6kulttuuri.<\/strong> Monet suomalaiset suuryritykset k\u00e4ytt\u00e4v\u00e4t englantia ty\u00f6kielen\u00e4 kansainv\u00e4lisiss\u00e4 toiminnoissaan. Kansainv\u00e4lisell\u00e4 IT-tukipalvelulla tai ulkoistetulla helpdeskin palvelulla ei v\u00e4ltt\u00e4m\u00e4tt\u00e4 ole resursseja tarkistaa soittajan henkil\u00f6llisyytt\u00e4 huolellisesti englanninkielisess\u00e4 tilanteessa.<\/p>\n\n\n\n

Pilvipalveluiden korkea k\u00e4ytt\u00f6aste.<\/strong> Pohjoismaiset yritykset ovat Euroopan k\u00e4rkimaita pilvipalveluiden adoptiossa. Microsoft 365, Entra ID, Okta ja vastaavat SaaS-alustat ovat laajalti k\u00e4yt\u00f6ss\u00e4, ja juuri n\u00e4ihin Scattered Spider kohdistaa ensisijaisen kirjautumisensa.<\/p>\n\n\n\n

DNV:n Pohjoismaat-raportti kirjasi 166 kyberiskua<\/strong> Suomessa, Ruotsissa, Norjassa ja Tanskassa vuoden 2025 aikana. Truesecin CISO-raportti puolestaan osoitti, ett\u00e4 teko\u00e4ly on lyhent\u00e4nyt hy\u00f6kk\u00e4\u00e4jien murtoajan Pohjoismaissa jo 2,4 p\u00e4iv\u00e4\u00e4n<\/strong>. Kun hy\u00f6kk\u00e4\u00e4j\u00e4ll\u00e4 on tunnukset k\u00e4dess\u00e4, aikaa on vain p\u00e4ivi\u00e4 reagoida, ei viikkoja.<\/p>\n\n\n\n

Lis\u00e4ksi suomalaisissa organisaatioissa on yleist\u00e4 ulkoistaa IT-helpdesk joko kansainv\u00e4liselle toimittajalle tai hoitaa se sis\u00e4isesti pienell\u00e4 tiimill\u00e4. Molemmissa malleissa on riskej\u00e4: ulkoistetuilla palveluilla ei v\u00e4ltt\u00e4m\u00e4tt\u00e4 ole syv\u00e4\u00e4 yrityskulttuurin tuntemusta tunnistaa manipulointiyrityksi\u00e4.<\/p>\n\n\n\n

Kyberturvallisuusyritys F-Secure, jonka juuret ovat Helsingiss\u00e4, on korostanut suomalaisten pk-yritysten haavoittuvuutta: useilla on pilvipalvelut k\u00e4yt\u00f6ss\u00e4, mutta tietoturvaosaaminen ja -prosessit ovat j\u00e4\u00e4neet teknologiakehityksen j\u00e4lkeen<\/strong>. Erityisesti helpdesk-prosessien protokollat, jotka ohjaavat tunnusten nollauksia, puuttuvat tai ovat ep\u00e4selvi\u00e4 monissa organisaatioissa. Supon vuoden 2026 arvion mukaan kyberoperaatiot ovat ulkomaisten tiedustelupalvelujen ensisijainen ty\u00f6kalu Suomeen kohdistuvassa tiedonhankinnassa, mik\u00e4 tekee vahvasta sis\u00e4isest\u00e4 tietoturvakulttuurista entist\u00e4 t\u00e4rke\u00e4mp\u00e4\u00e4.<\/p>\n\n\n\n

Varoitusmerkit ja hy\u00f6kk\u00e4yksen tunnistaminen<\/h2>\n\n\n\n

Scattered Spiderin hy\u00f6kk\u00e4yksill\u00e4 on tunnistettavia piirteit\u00e4, joita tietoturvahenkil\u00f6st\u00f6 voi seurata. Push Security on dokumentoinut ryhm\u00e4n taktiikkoja kattavasti.<\/p>\n\n\n\n

Ep\u00e4ilytt\u00e4v\u00e4t merkit ovat muun muassa: tuntemattomasta numerosta soittava henkil\u00f6, joka esitt\u00e4\u00e4 olevansa yrityksen ty\u00f6ntekij\u00e4<\/strong> ja pyyt\u00e4\u00e4 IT-tukea kiireellisesti. Yht\u00e4kkinen MFA-push-pyynt\u00f6jen vy\u00f6ry omalle laitteelle ilman omaa toimintaa kertoo push-pommi-hy\u00f6kk\u00e4yksest\u00e4. Uusi kirjautuminen tuntemattomasta sijainnista tai laitteesta samaan aikaan kun helpdeskin kanssa kommunikoidaan on erityisen h\u00e4lytt\u00e4v\u00e4 yhdistelm\u00e4. SIM-kortin yll\u00e4tt\u00e4v\u00e4 lakkaaminen toimimasta omassa puhelimessa on merkki mahdollisesta SIM-vaihtohy\u00f6kk\u00e4yksest\u00e4.<\/p>\n\n\n\n

Tietoturva-asiantuntija Adam Bateman Push Securitylt\u00e4<\/strong> on korostanut, ett\u00e4 ryhm\u00e4n hy\u00f6kk\u00e4ykset ovat usein “hyvin k\u00e4sikirjoitettuja sosiaalisia tilanteita, joissa hy\u00f6kk\u00e4\u00e4j\u00e4 hallitsee keskustelun tempoa ja pakottaa IT-tuen toimimaan kiireess\u00e4”. Kiire on sosiaalisen manipulaation t\u00e4rkein ty\u00f6kalu.<\/p>\n\n\n\n

Suojautuminen: 8 toimenpidett\u00e4 yrityksille<\/h2>\n\n\n\n

Britannian NCSC suositteli tapauksien j\u00e4lkeen konkreettisia toimenpiteit\u00e4 kaikille organisaatioille. Suomalaisille yrityksille seuraavat toimet ovat erityisen relevantteja:<\/p>\n\n\n\n

1. Helpdesk-henkil\u00f6llisyyden vahvistusprosessi.<\/strong> Jokaisella IT-tukitoiminnolla on oltava kirjallinen protokolla: miten varmistetaan soittajan henkil\u00f6llisyys ennen mink\u00e4\u00e4n tunnuksen nollausta. Puhelun numero tai nimi ei riit\u00e4. K\u00e4yt\u00e4 vaihtoehtoista todennuskanavaa, kuten ennalta sovittua koodia tai esimiehen vahvistusta.<\/p>\n\n\n\n

2. Phishing-kest\u00e4v\u00e4 MFA.<\/strong> Vaihda SMS- tai push-pohjaiset MFA-menetelm\u00e4t FIDO2-avaimiin tai passkeyseihin<\/strong>. N\u00e4m\u00e4 eiv\u00e4t ole alttiita push-pommi-hy\u00f6kk\u00e4yksille tai tietojenkalastelulle, koska avain on sidottu fyysiseen laitteeseen.<\/p>\n\n\n\n

3. Privileged Access Management (PAM).<\/strong> Erityisoikeuksien hallinta est\u00e4\u00e4 sen, ett\u00e4 yhdell\u00e4 varastetulla tunnuksella p\u00e4\u00e4see koko verkkovaltakuntaan. L\u00e4hde siit\u00e4, ett\u00e4 kaikki p\u00e4\u00e4sy tehd\u00e4\u00e4n v\u00e4himm\u00e4isoikeuksien periaatteella.<\/p>\n\n\n\n

4. VMware ESXi -ymp\u00e4rist\u00f6jen kovettaminen.<\/strong> DragonForce salaa ESXi-palvelimet ensimm\u00e4isen\u00e4. Varmista, ett\u00e4 ESXi-palvelimiin p\u00e4\u00e4sy on rajoitettu, palomuureilla suojattu ja hallintarajapinnat eristetty yleisest\u00e4 verkosta.<\/p>\n\n\n\n

5. Henkil\u00f6st\u00f6n tietoisuuskoulutus.<\/strong> Jokainen ty\u00f6ntekij\u00e4 on potentiaalinen kohde sosiaalisen manipulaation kautta. Simuloi puhelinpohjaisia vishing-hy\u00f6kk\u00e4yksi\u00e4 s\u00e4\u00e4nn\u00f6llisesti, ei vain s\u00e4hk\u00f6postiphishingia.<\/p>\n\n\n\n

6. SIM-vaihtosuojaus.<\/strong> Ota yhteytt\u00e4 operaattoriin ja ota k\u00e4ytt\u00f6\u00f6n PIN-suojaus SIM-kortin siirrolle. Monet operaattorit tarjoavat t\u00e4t\u00e4 lis\u00e4turvaominaisuutena.<\/p>\n\n\n\n

7. Lokien seuranta ja h\u00e4lytykset.<\/strong> Aseta h\u00e4lytykset ep\u00e4tavallisille kirjautumisille, erityisesti tuntemattomista maista tai laitteista Entra ID:ss\u00e4 tai Oktassa. Nopeampi havainnointi katkaisee hy\u00f6kk\u00e4ysketjun.<\/p>\n\n\n\n

8. Varmuuskopioiden testaus ja eristys.<\/strong> Scattered Spider salaa j\u00e4rjestelmi\u00e4, mutta toimivat, verkkosegmentoidut varmuuskopiot rajoittavat toipumisaikaa merkitt\u00e4v\u00e4sti. M&S:n pitk\u00e4 toipumisaika viittaa osittain varmuuskopioiden saatavuusongelmiin.<\/p>\n\n\n\n

NCSC:n Board Toolkit -ohjeistus tarjoaa johtoryhm\u00e4tason tarkistuslistan kyberturvallisuuden perustasosta. Suomalaisille yrityksille on t\u00e4rke\u00e4\u00e4 huomata, ett\u00e4 n\u00e4m\u00e4 toimenpiteet eiv\u00e4t vaadi valtavia investointeja, vaan ennen kaikkea prosessikurin ja tietoisuuden nostamista koko organisaatiossa<\/strong>. Tekninen tietoturva voi olla erinomaista, mutta jos yksi helpdeskin henkil\u00f6 antaa tunnukset puhelimitse v\u00e4\u00e4rille henkil\u00f6ille, kaikki tekniset suojaukset menev\u00e4t hukkaan.<\/p>\n\n\n\n

Ryhm\u00e4n kehitys 2025: Vakuutuksesta lentoihin<\/h2>\n\n\n\n

Britannialaisten v\u00e4hitt\u00e4iskauppiaiden j\u00e4lkeen Scattered Spider laajensi toimintaansa nopeasti. CrowdStricken mukaan ryhm\u00e4 kohdistui yhdysvaltalaisiin lentoyhti\u00f6ihin kes\u00e4kuussa 2025<\/strong>, k\u00e4ytt\u00e4en samaa helpdeskimpersonaatio- ja MFA-ohitusketjua. Kohteiksi on raportoitu my\u00f6s useita vakuutusyhti\u00f6it\u00e4: Aflac, Allianz Life ja Philadelphia Indemnity Insurance.<\/p>\n\n\n\n

Push Security dokumentoi toukokuussa 2025 hy\u00f6kk\u00e4ysaallon, jonka kohteina olivat Dior, The North Face, Cartier, Victoria’s Secret, Adidas, Coca-Cola, United Natural Foods, Klaviyo, HubSpot ja Pure Storage<\/strong>. T\u00e4m\u00e4 lista osoittaa, ett\u00e4 ryhm\u00e4 ei ole toimialasidonnainen, vaan etsii opportunistisesti kohteita, joissa sosiaalinen manipulaatio todenn\u00e4k\u00f6isimmin onnistuu.<\/p>\n\n\n\n

Ryhm\u00e4n laajentuminen eri toimialoille nostaa merkitt\u00e4v\u00e4n huolen: mik\u00e4 tahansa suuri organisaatio, jossa on englanninkielinen IT-tuki tai kansainv\u00e4liset toiminnot, on potentiaalinen kohde.<\/strong><\/p>\n\n\n\n

Mandiant ja Google Threat Intelligence Group korostivat toukokuussa 2025 julkaisemassaan analyysissa, ett\u00e4 samat uhkatoimijat, jotka iskiv\u00e4t Britannian v\u00e4hitt\u00e4iskauppiaisiin, alkoivat v\u00e4litt\u00f6m\u00e4sti kohdistaa hy\u00f6kk\u00e4yksi\u00e4\u00e4n yhdysvaltalaisiin v\u00e4hitt\u00e4iskauppiaisiin<\/strong>. T\u00e4m\u00e4 osoittaa, ett\u00e4 ryhm\u00e4 soveltaa systemaattisesti toimivaksi havaittua hy\u00f6kk\u00e4yskaavaa uusiin toimialoihin ja maihin ilman merkitt\u00e4vi\u00e4 taukoja. Jokainen julkinen raportointi onnistuneesta hy\u00f6kk\u00e4yksest\u00e4 toimii ryhm\u00e4lle my\u00f6s rekrytointiviestin\u00e4 uusille j\u00e4senille.<\/p>\n\n\n\n

5 ennustusta: Scattered Spider 2026<\/h2>\n\n\n\n

Scattered Spiderin toimintamallin ja vuoden 2025 kehityksen perusteella voidaan tehd\u00e4 seuraavat arviot ryhm\u00e4n toiminnasta vuoden 2026 aikana:<\/p>\n\n\n\n

1. Eurooppalaiset kohteet lis\u00e4\u00e4ntyv\u00e4t.<\/strong> UK-hy\u00f6kk\u00e4ykset osoittivat, ett\u00e4 ryhm\u00e4 toimii tehokkaasti my\u00f6s brittiymp\u00e4rist\u00f6iss\u00e4. Seuraava askel on todenn\u00e4k\u00f6isesti manner-Eurooppa, jossa suuryrityksill\u00e4 on englanninkielist\u00e4 IT-tukea ja laaja pilvi-infrastruktuuri.<\/p>\n\n\n\n

2. Teko\u00e4lyavusteinen vishing yleistyy.<\/strong> \u00c4\u00e4nikloonausteknologia mahdollistaa entist\u00e4 vakuuttavamman impersonaation. Hy\u00f6kk\u00e4\u00e4j\u00e4 voi kloonata oikean johtajan \u00e4\u00e4nen ja soittaa IT-tuelle sen nimiss\u00e4. T\u00e4t\u00e4 tekniikkaa on raportoitu jo pilottik\u00e4yt\u00f6ss\u00e4 muissa kyberrikollisoperaatioissa.<\/p>\n\n\n\n

3. Pid\u00e4tykset eiv\u00e4t pys\u00e4yt\u00e4 ryhm\u00e4\u00e4.<\/strong> Hein\u00e4kuun 2025 nelj\u00e4 pid\u00e4tyst\u00e4 ei ole h\u00e4irinnyt toimintaa merkitt\u00e4v\u00e4sti. Ryhm\u00e4 on hajautettu ja rekrytoi uusia j\u00e4seni\u00e4 jatkuvasti. Lainvalvontatoimet hidastavat, mutta eiv\u00e4t lopeta toimintaa.<\/p>\n\n\n\n

4. Terveydenhuolto joutuu hy\u00f6kk\u00e4yksen kohteeksi.<\/strong> Suomessa Vastaamo-tapaus vuonna 2020 osoitti, miten tuhoisa terveydenhuollon tietomurto voi olla. Scattered Spiderin laajeneva toimialaportfolio tekee sairaaloista ja klinikoista realistisia seuraavia kohteita.<\/p>\n\n\n\n

5. MFA-ohituspalvelut kehittyv\u00e4t palveluksi.<\/strong> Phishing-as-a-Service -alustoja, jotka automatisoivat MFA-ohituksen, tulee lis\u00e4\u00e4 markkinoille. T\u00e4m\u00e4 madaltaa kynnyst\u00e4 Scattered Spiderin tyyppisten hy\u00f6kk\u00e4ysten toteuttamiseen my\u00f6s v\u00e4hemm\u00e4n taitaville kyberrikollisille.<\/p>\n\n\n\n

Aiheeseen liittyv\u00e4\u00e4<\/h2>\n\n\n\n

Kyberhy\u00f6kk\u00e4yksiin ja pohjoismaiseen turvallisuusymp\u00e4rist\u00f6\u00f6n liittyv\u00e4\u00e4 lis\u00e4lukemista:<\/p>\n\n\n\n