Trwająca od ponad tygodnia awaria systemów informatycznych w Marks & Spencer, będąca efektem poważnego cyberataku, wstrząsnęła brytyjskim sektorem handlu detalicznego. Zakłócenia w działaniu strony internetowej, aplikacji mobilnych oraz punktów stacjonarnych ujawniły nie tylko słabe punkty w zabezpieczeniach jednej z największych sieci w Wielkiej Brytanii, ale też wzbudziły obawy całej branży przed eskalacją cyberzagrożeń.
Zakłócenia sprzedaży i działania naprawcze
Pierwsze problemy pojawiły się w poniedziałek, 21 kwietnia, kiedy klienci zaczęli zgłaszać trudności z płatnościami zbliżeniowymi i odbiorem zamówień internetowych w sklepach stacjonarnych. Choć część usług przywrócono w czwartek wieczorem, 25 kwietnia Marks & Spencer ogłosiło całkowite wstrzymanie nowych zamówień online – zarówno przez stronę internetową, jak i aplikację. Decyzja ta miała charakter prewencyjny i była elementem działań podejmowanych po ataku na systemy M&S.
W komunikacie firma zapewniła, że zespół specjalistów IT wspierany przez zewnętrznych ekspertów ds. cyberbezpieczeństwa intensywnie pracuje nad przywróceniem pełnej funkcjonalności systemów. Klienci mogą nadal korzystać ze sklepów stacjonarnych – płacąc gotówką lub kartą – jednak niektóre usługi, takie jak realizacja kart podarunkowych czy zwroty w sklepach spożywczych, nadal pozostają niedostępne. Równocześnie wystąpiły problemy z dostępnością niektórych produktów w wybranych lokalizacjach, co firma tłumaczyła tymczasowym wyłączeniem części systemów logistycznych.
Rosnące straty i rynkowa niepewność
Zakłócenia objęły kluczowe kanały sprzedaży – sprzedaż online odpowiada za ponad jedną trzecią obrotów w segmencie odzieży i wyposażenia domu M&S, generując średnio 3,8 miliona funtów dziennie. Jak informowały brytyjskie media, w ciągu kilku dni po ujawnieniu ataku rynkowa wartość M&S spadła o ponad 600 milionów funtów, a kurs akcji należał do najsilniej tracących w indeksie FTSE 100.
Dodatkowym ciosem dla M&S była konieczność wstrzymania dostaw niektórych produktów spożywczych do Ocado – internetowego sklepu spożywczego, którego M&S jest współwłaścicielem.
Scattered Spider w centrum uwagi
Z informacji ujawnionych 29 kwietnia wynika, że za atakiem może stać grupa hakerska Scattered Spider – znana również jako Octo Tempest – powiązana wcześniej z głośnymi atakami na MGM Resorts i Caesars w USA. Według serwisu BleepingComputer, cyberprzestępcy mieli uzyskać dostęp do systemów M&S już w lutym, a następnie zaszyfrować część serwerów z wykorzystaniem oprogramowania ransomware DragonForce.
Tim Mitchell, starszy analityk z Secureworks, potwierdził, że skala zakłóceń wskazuje na klasyczny atak typu ransomware.
– Choć z zewnątrz nie sposób jednoznacznie potwierdzić tożsamości sprawców, poziom paraliżu infrastruktury sugeruje działanie profesjonalnej grupy szyfrującej dostęp do systemów w celu wymuszenia okupu.
Scattered Spider wyróżnia się na tle innych grup hakerskich – jej członkowie posługują się głównie językiem angielskim, co odróżnia ją od wielu grup operujących z krajów takich jak Rosja. Według Mitchella, motywacją grupy może być nie tylko zysk, ale też budowanie reputacji w hakerskim półświatku.
Reakcje rynku i ostrzeżenia dla branży
Nicholas Found z Retail Economics zwrócił uwagę, że incydent pokazuje, jak bardzo cały sektor handlowy jest narażony na zagrożenia cybernetyczne.
– To ostrzeżenie, że żaden detalista – nawet tak doświadczony i rozwinięty technologicznie jak M&S – nie jest bezpieczny.
W podobnym tonie wypowiadał się Julius Černiauskas, prezes Oxylabs.
– Sytuacja M&S pokazuje, że ransomware to broń, której skuteczność opiera się na skali wywołanego chaosu. Im większy paraliż, tym większa presja, by zapłacić okup.
Eksperci podkreślają również, że tego typu incydenty przyciągają uwagę oszustów – szczególnie w kanałach takich jak e-mail czy media społecznościowe. Klienci zostali więc ostrzeżeni przed potencjalnymi próbami phishingu wykorzystującymi markę M&S i związane z nią aktualne problemy.
Działania służb i dalsze kroki
Sprawą zajmuje się cybernetyczna jednostka londyńskiej policji metropolitalnej. Śledztwo prowadzi także Narodowe Centrum Cyberbezpieczeństwa (NCSC), które wspiera firmę w działaniach naprawczych. Mimo współpracy z odpowiednimi służbami i zapewnień o zaangażowaniu specjalistów, M&S nie ujawnia szczegółów dotyczących ataku ani przewidywanego terminu zakończenia zakłóceń.
Cyberatak na M&S wpisuje się w coraz częstszy trend uderzeń w kluczowe podmioty brytyjskiego handlu i infrastruktury. W ostatnich latach ofiarami podobnych incydentów padły m.in. Royal Mail, WH Smith oraz The Guardian.
Oczekuje się, że firma odniesie się szerzej do sytuacji podczas zapowiedzianego na 21 maja raportu finansowego. Do tego czasu pozostaje otwarte pytanie, jak długo potrwa odbudowa systemów i zaufania klientów.
Sprawę skomentował Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET:
Ataki typu ransomware, którego doświadczyła znana brytyjska sieć handlowa Marks & Spencer motywowane są przede wszystkim chęcią gigantycznego zarobku po stronie cyberprzestępców, dla których ten typ ataków to klasyczna sytuacja win-win, bo atak może się zakończyć opłaceniem okupu lub sprzedażą danych klientów w darknecie. Tym samym, jeśli systemy nie zostaną szybko i skutecznie naprawione, będzie rosnąć presja, by zapłacić okup i jak najszybciej wrócić do normalnego funkcjonowania.
W przypadku firmy Marks & Spencer nie tylko straty wizerunkowe wynikające z ataku, mogą być druzgocące. Gigantyczne spadki na giełdzie, a także wyłączenie sprzedaży internetowej na kilka dni będzie bardzo kosztowne.
Według doniesień medialnych za atakiem stoi grupa Scattered Spider, która wcześniej miała uderzyć w globalną firmę z branży hotelarskiej MGM Resorts i amerykańskiego operatora kasyn Caesars. W skład grupy wchodzą m.in. przestępcy z Wielkiej Brytanii i USA, w wieku około 20 lat, z których część była oskarżana o próby kradzieży kryptowalut za pomocą phishingu w USA.
Tego typu incydenty powinny przypomnieć polskim przedsiębiorcom, jak ważna jest prewencja i odpowiednie zabezpieczenie danych firmy i klientów. Z najnowszych danych zebranych w raporcie ESET Threat Report za II półrocze 2024 wynika, że w porównaniu do I półrocza liczba ataków ransomware w naszym kraju wzrosła aż o 37%. Ponadto przedsiębiorcy powinni pamiętać o regularnych szkoleniach, bo to człowiek jest często najsłabszym ogniwem. Niestety nasze dane wskazują, że aż 52% pracowników polskich firm nie przeszło w ciągu ostatnich 5 lat ani jednego szkolenia z cyberbezpieczeństwa w miejscu pracy.
źródła: informacja prasowa, theguardian.com, bleepingcomputer.com
OFERTA
Dodaj komentarz