Több mint egy hete tart a káosz a Marks and Spencer (M&S) életében, amely az Egyesült Királyság egyik legnagyobb márkája, és most már egyértelmű, hogy egy jelentős kibertámadás áldozatává vált. Az incidens következményeként a cég milliókat veszített el az elmaradt eladások és a csökkenő részvényárfolyam miatt. Az M&S eddig nem közölte, hogy pontosan mi vagy ki okozta az online rendelési rendszereik leállását, a szállítások felfüggesztését és az üres polcokat az üzletekben. A BBC értesülései szerint kiberbiztonsági szakértők arról beszéltek, hogy a támadás során egy DragonForce nevű zsarolóprogramot használtak.
Ciaran Martin, a Nemzeti Kibervédelmi Központ alapító vezérigazgatója kifejtette, hogy a támadás „súlyos” következményekkel jár az M&S számára. „Ez egy meglehetősen súlyos zsarolóprogram-epizód” – mondta. „Ez egy rendkívül zavaró esemény, és nagyon nehéz számára megbirkózni vele.” Martin, aki jelenleg az Oxfordi Egyetem professzora, hozzátette, hogy az M&S-nek nem sok választása van, akár tárgyalni kíván a támadást végrehajtó bűnbanda képviselőivel, akár nem. „Még azoknál a szervezeteknél is, amelyek váltságdíjat fizetnek – mivel ezek bűnözők, akiket nem lehet megbízni – gyakran előfordul, hogy a dolog nem működik” – mondta. „Azokban a szervezetekben, amelyek nem fizetnek, meg kell próbálniuk helyreállítani a rendszereket és aktiválni a biztonsági mentéseket, ami rendkívül bonyolult.”
Sok nem kiberbiztonsági jellegű technikai hiba viszonylag gyorsan orvosolható. Egy szoftver- vagy szerverfrissítés, vagy akár felhasználói hiba által okozott leállás gyakran órákon belül megoldható. Azonban a kártevő észlelése és megállítása, amely a nagy kiskereskedelmi láncok, mint az M&S rendszereiben pusztít, nem gyors feladat – mondja Alan Woodward professzor, a Surrey Egyetem kiberbiztonsági szakértője. „Minden, a termékek nyilvántartásától, ami a feltöltéshez szükséges, a kártyás fizetésekig, rendkívül összetett rendszereken alapul… jelentős időt és szakértelmet igényel a problémák elemzése és a hacker eltávolításának biztosítása” – tette hozzá.
Lisa Forte, a Red Goat kiberbiztonsági cég partnere is azzal egyetért, hogy az M&S érett módon kezeli a zűrzavart, de szerinte nem reális elvárás egy cégtől, hogy egy hét alatt helyreállítsa a rendszereit. „Nem tudok olyan szervezetről, amely ezt meg tudná tenni” – mondta. A helyzet súlyossága is befolyásolja a válság kezelésének módját. Minél tovább tart egy kibertámadás, annál valószínűbb, hogy zsarolóprogramról van szó – mondják a kiberbiztonsági szakemberek. „Úgy gondolom, hogy nagy a valószínűsége, hogy ez egy zsarolóprogram-stílusú esemény” – mondta Dan Card, a BCS kiberbiztonsági szakértője. „Ezeket úgy írom le, mintha egy digitális bomba robbant volna fel. A helyreállításuk technikailag és logisztikailag is kihívást jelent… a sértett szervezet valószínűleg nonstop dolgozik a válaszadáson és a helyreállításon.”
A zsarolóprogram egy különösen alattomos kártevő, amely során a számítógép vagy számítógépek hálózata hozzáférhetetlenné válik, az adatokat pedig titkosítják, miközben a támadók díjat követelnek, általában kriptovalutában, a helyreállításáért. A hivatalos tanács nem javasolja a váltságdíj kifizetését, hiszen ezzel a bűnözőkbe vetett bizalmat helyezik előtérbe. Ugyanakkor gyakran lehetetlen helyreállítani a kompromittált szolgáltatásokat a hackerek kulcsa nélkül, így az egyetlen lehetőség a biztonsági mentések használata vagy új rendszerek telepítése és az újrakezdés. Az M&S nem kívánt nyilatkozni, és a támadó sem tette közzé követeléseit – bár ez nem mindig történik meg, gyakran ez is egy módja annak, hogy a kiberbűnözők nyomást gyakoroljanak áldozataikra.
A DragonForce nevű bűnbanda, amelyről kedden értesültünk, hogy valószínűleg a támadás mögött áll, lehetőséget biztosít más hackerek számára, hogy a rosszindulatú szoftverüket támadásokhoz használják, amennyiben részesedést kapnak. A támadókat egy elég fluid hálózatnak nevezik, amelyet Scattered Spidernek is hívnak, és amely a 2023-as MGM Las Vegas-i hotelek elleni támadás mögött is állt. A Bleeping Computer weboldal „több forrást” idéz, amelyek azt sugallják, hogy ők állnak a támadás mögött, és azt is megjegyzik, hogy némelyikük tinédzser. Rik Ferguson, az Europol Európai Kiberbűnözési Központjának különleges tanácsadója szerint a csoport részvételére vonatkozó spekulációk hitelesnek tűnnek, de eddig nem látott meggyőző bizonyítékot. Kérdésemre, hogy az M&S ügyfeleinek aggódniuk kellene-e a személyes adataik miatt, a cég jelenleg azt nyilatkozta, hogy nincs szükség intézkedésre. „Csak az M&S tudja megmondani, hogy az ügyfeleknek aggódniuk kell-e a személyes adataik miatt” – mondta. „A bizonytalanság hiányában érdemes lenne az M&S ügyfeleinek, különösen azoknak, akik más webszolgáltatásokon is újrahasználták az M&S-fiók adataikat, elkezdeniük megváltoztatni azokat a jelszavakat máshol.” Az M&S és a Co-op egyaránt a kibertámadások okozta zűrzavarból próbálnak helyreállni, a cég korábban azt mondta, hogy „nincs bizonyíték arra, hogy az ügyféladatokat kompromittálták”. A szakértők szerint egy ilyen magánélet-centrikus platform használata nem szokványos a nemzeti biztonsági kérdések kezelésében. A Pénzügyminisztérium közleménye szerint a weboldal domainje nem volt állami tulajdonban, és a tisztviselők kapcsolatba léptek az Action Fraud ügynökséggel. Egy tanácsi dokumentum szerint a kiberbiztonsági hiba „potenciális védelmi kockázatot jelent a gyermekek számára”.
