Több mint egy hete káosz uralkodik a Marks and Spencer (M&S) nevű brit nagyvállalat körül, amely az Egyesült Királyság egyik legnagyobb márkája. Az események egyértelművé tették, hogy egy jelentős kibertámadás történt, amely több millió fontnyi elmaradt értékesítést és csökkent részvényárat eredményezett a cég számára. Az M&S nem árulta el, hogy mi vagy ki okozta az online rendelési rendszerek leállását, a szállítások felfüggesztését, és a boltok üres polcait. A BBC értesülései szerint biztonsági szakértők azt állítják, hogy a támadás során a DragonForce nevű zsarolóvírust használták.
Ciaran Martin, a Nemzeti Kibervédelmi Központ alapító vezérigazgatója rámutatott, hogy ennek a támadásnak „komoly” következményei vannak az M&S számára. „Ez egy eléggé súlyos zsarolóvírus-epizód” – mondta. „Ez egy rendkívül zavaró esemény, és nagyon nehéz nekik kezelni.” Martin, aki jelenleg az Oxfordi Egyetem professzora, elmondta, hogy az M&S-nek nem sok választása van, akár beszéljen a támadást végrehajtó bandával, akár nem. „Még azok a szervezetek is, amelyek váltságdíjat fizetnek – mert ezek bűnözők, akiket nem lehet megbízni – néha azt tapasztalják, hogy ez nem működik” – tette hozzá. „Azokban a szervezetekben, amelyek nem fizetnek, meg kell próbálni helyreállítani a rendszereket és aktiválni a biztonsági mentéseket, ami nagyon bonyolult feladat.”
A kibertámadásokkal nem kapcsolatos technikai problémák általában viszonylag gyorsan megoldhatók. Egy hibás szoftver- vagy szerverfrissítés, vagy akár felhasználói hiba okozta leállás általában órák alatt orvosolható. Azonban a malware felderítése és megállítása, amely a nagy országos kiskereskedők, mint például az M&S rendszerein keresztül pusztít, nem gyors feladat – mondta Alan Woodward professzor, a Surrey Egyetem kibervédelmi szakértője. „Minden, a forgalmazott termékek nyilvántartásától kezdve, egészen a kártyás tranzakciók lebonyolításáig, rendkívül összetett rendszereken múlik… jelentős időre és szakértelemre van szükség ahhoz, hogy elemezzék és biztosítsák, hogy kiűzték a hackert” – fejtette ki.
Lisa Forte, a Red Goat kibervédelmi cég partnere egyetértett. „Érett módon kezelik a zűrzavart, de elvárni bármely cégtől, hogy mindent egy héten belül újra üzembe helyezzen, lehetetlen” – mondta. „Nem ismerek olyan szervezetet, amely ezt meg tudná csinálni.” A fenyegetés természetéből is sok minden függ. Minél tovább tart egy kibertámadás, annál valószínűbb, hogy zsarolóvírusról van szó – állítják többen a kibervédelemmel foglalkozó szakértők. Dan Card, a BCS kibertanácsadója, ezt a fajta támadást úgy jellemezte, mint egy digitális bombát, amely felrobbant. „A helyreállítás gyakran technikai és logisztikai kihívásokkal teli… a sértett szervezet valószínűleg éjjel-nappal dolgozik a válaszlépések kidolgozásán” – tette hozzá.
A zsarolóvírus egy különösen alattomos kártevő, amely során a számítógép vagy számítógépek hálózatának tulajdonosát kizárják, az adatai összezavarodnak, és a támadók díjat követelnek, általában kriptovalutában, az adatok helyreállításáért. Az hivatalos tanács az, hogy ne fizessenek. Végül is bűnözőknek bíznak a szavukban. Ugyanakkor gyakran lehetetlenné válik a kompromittált szolgáltatások helyreállítása a hackerek kulcsának hiányában – ami azt jelenti, hogy az egyetlen megoldás az, hogy biztonsági mentéseket használnak, vagy új rendszereket telepítenek és kezdik elölről. Az M&S nem kommentálta a helyzetet, és egyelőre egy támadó sem tett közzé követeléseket, bár ez nem mindig történik meg, de gyakran ez egy módja a kibertámadók számára, hogy még nagyobb nyomást gyakoroljanak áldozataikra.
A DragonForce nevű kiberbűnözői csoport, amely valószínűleg a támadás mögött áll, lehetővé teszi más hackerek számára, hogy használják a rosszindulatú szoftverüket, feltéve, hogy részesedést kapnak. A hackerszervezet kiléte nem egyértelmű, de a Scattered Spider néven ismert fluid hálózatra mutogatnak, amely 2023-ban a Las Vegas-i MGM szállodák elleni támadásért is felelősséggel tartozik. A Bleeping Computer weboldal több forrást idéz, amelyek azt sugallják, hogy a csoport felelős, és néhány tagja tinédzser. Rik Ferguson, az Europol Európai Kibercsapatának különleges tanácsadója megerősítette, hogy a csoport részvételéről szóló spekulációk hitelesnek tűnnek, de eddig nem látott áttörő bizonyítékot. Amikor megkérdezték, hogy az M&S ügyfeleinek aggódniuk kell-e a személyes adataik miatt, a cég jelenleg azt állítja, hogy nincs szükség semmiféle intézkedésre. „Csak az M&S tudja megmondani, hogy az ügyfeleknek aggódniuk kell-e a személyes adataik miatt” – mondta. „A bizonytalanság miatt mindenképpen tanácsos lenne az M&S ügyfeleinek, különösen azoknak, akik esetleg újrahasználják az M&S fiókjuk hitelesítő adatait más webszolgáltatásokon, hogy kezdjék el megváltoztatni ezeket a jelszavakat máshol.” A Marks & Spencer és a Co-op a kibertámadások okozta zűrzavarból való felépülés közepette tartja a frontot, a cég korábban azt nyilatkozta, hogy „nincs bizonyíték arra, hogy az ügyféladatok kompromittálódtak”. A szakértők azt mondják, hogy egy ilyen adatvédelmi szempontból érzékeny platform használata nem szokványos nemzeti biztonsági ügyekben. A Pénzügyminisztérium közölte, hogy a weboldal domainje nem állami tulajdonú, és a hivatalnokok kapcsolatba léptek az Action Fraud ügynökséggel. Egy tanácsi dokumentum szerint a kibervédelmi hiba „potenciális védelmi kockázatot jelent a gyermekek számára”.
