Jak hakerzy kasyn spowodowali cyfrowy upadek Marks & Spencer

Cyberatak przypisywany gangowi nastoletnich hakerów postawił giganta handlu detalicznego Marks & Spencer w trudnej sytuacji: od 22 kwietnia firma musiała zawiesić swój sklep internetowy i rekrutację online, ma problemy z dostawami świeżych produktów do swoich supermarketów i musiała przyznać, że „niektóre dane osobowe jej klientów” zostały skradzione, chociaż twierdzi, że nie dotyczyło to ich danych bankowych. Dotychczasowy bilans to 14-procentowy spadek na giełdzie i 50 milionów euro strat tygodniowo.

Eksperci ds. cyberbezpieczeństwa wskazują, że sprawcami cyberataku jest grupa hakerów w wieku nastoletnim lub dwudziestokilkuletnim, powiązana z siecią Scattered Spider, która zleca wykonanie programu o nazwie DragonForce. „Mamy do czynienia z przestępstwem jako usługą, zorganizowaną przestępczością jako biznesem” – mówi Francesc Xavier Vendrell, starszy analityk ds. cyberbezpieczeństwa w Parlem Tech, oddziale usług technologicznych operatora Parlem. „Udało im się wprowadzić do firmy program, który zaszyfrował ich dane, i żądają pieniędzy za ich odszyfrowanie. Jeśli firma zapłaci, przyczyni się do ich biznesu. I nie mają żadnej gwarancji, że dadzą im klucze, że działają lub że nie sprzedali danych klientów”.

Uważa się, że Scattered Spider to grupa młodych ludzi, głównie Brytyjczyków i Amerykanów, niektórzy z nich mają zaledwie 16 lat, którzy spotykają się i współpracują na forach cyfrowych. Pierwszy atak miał miejsce w 2022 r. Od tego czasu grupa przeprowadziła około 100 ataków na przedsiębiorstwa, operatorów telekomunikacyjnych, instytucje finansowe i firmy z sektora gier. Rozproszenie, brak hierarchii i zdecentralizowane działanie pozwoliły sieci przetrwać, mimo że policja aresztowała kilku jej członków. Ostatnie dochodzenie, mające miejsce w kwietniu, dotyczyło Tylera Buchanana, 23-letniego Szkota aresztowanego w Hiszpanii i wydanego Stanom Zjednoczonym.

Do tej pory najbardziej znanymi ofiarami Scattered Spider były Caesars i MGM Resorts, dwaj operatorzy kasyn w Las Vegas, od których hakerzy zażądali ogromnych okupów. Według Brown & Brown, brokera ubezpieczeniowego zajmującego się ubezpieczeniami od ryzyka cybernetycznego, Caesars zapłacił im prawdopodobnie około 15 milionów euro za ponowne otwarcie.

Przeczytaj także

Hakerzy specjalizują się w atakach „inżynierii społecznej”, polegających na stosowaniu fałszywych wiadomości e-mail lub kampanii SMS (phishing lub smishing) w celu nakłonienia odbiorców do podania swoich danych osobowych. W przypadku Marks & Spencer, hakerzy zaatakowali pracowników IT i zadzwonili do kluczowych pracowników, aby zaktualizowali swoje hasła (hakerzy ze Scattered Spider mówią po angielsku jako ojczystym, więc dali się przekonać).

Pere Martínez, partner w firmie konsultingowej ITech by Plexus, wyjaśnia, że ​​atak pokazuje, że „główną drogą złośliwego dostępu do firmy pozostaje błąd ludzki” i że w tym przypadku ataku można było uniknąć „dzięki bardziej niezawodnemu systemowi dual-ID”.

Wydaje się, że podobne stanowisko prezentuje również brytyjskie Narodowe Centrum Cyberbezpieczeństwa , które wydało nowe wytyczne dla firm, mające na celu zapobieganie tego typu atakom, wymagające od pracowników IT dodatkowych dowodów tożsamości lub w przypadku „ryzykownych” logowań (gdy ktoś loguje się w nietypowych porach lub miejscach).

„Mamy do czynienia z ciągiem błędów” – zauważa Vendrell. Jego zdaniem „wygląda na to, że Marks & Spencer nie miał planu awaryjnego na wypadek ataku lub systemów szybkiego odzyskiwania, takich jak na przykład niezmienne kopie zapasowe”. Firma nie może sobie pozwolić na taką sytuację przez tak wiele dni.

Prawie w tym samym czasie, kiedy doszło do ataku na Marks & Spencer, padł ofiarą ataku również Harrods i Co-op, dwa inne duże brytyjskie sklepy detaliczne. Rzekomy rzecznik DragonForce stwierdził w BBC, że za trzema atakami stoją grupy wykorzystujące wirusy tej firmy. Brytyjskie władze nie potwierdziły jednak, że za wszystkimi trzema atakami stały te same osoby.

Inne ataki: fałszywe strony internetowe i boty

José Luis Rojo, partner ds. cyberbezpieczeństwa w firmie konsultingowej EY, stwierdza, że ​​„handel detaliczny jest jednym z sektorów najbardziej podatnych na ataki, ponieważ hakerzy mogą je łatwo monetyzować. Istnieją grupy cyberprzestępców specjalizujące się w tym sektorze”.

Ataki z użyciem oprogramowania typu ransomware, czyli przechwytywanie danych, takie jak to, którego ofiarą padła firma Marks & Spencer, zdarzają się we wszystkich sektorach, jednak sprzedawcy detaliczni są szczególnie narażeni na ataki, takie jak kradzieże sklepowe. „Ciągle widzimy tworzenie stron internetowych i domen, które podszywają się pod prawdziwe sklepy. Zmieniają litery — na przykład O zamiast 0. A w ramach kampanii phishingowej kierują konsumentów do swojej fałszywej strony internetowej”. W ten sposób popełniają oszustwo (nigdy nie otrzymujesz dokonanego zakupu), a także kradną Twoje dane w celu przeprowadzenia innych oszustw. „W dark webie istnieje realny rynek danych osobowych” – zauważa Rojo.

Przeczytaj także

Innym typowym atakiem w tym sektorze są boty , „koszmar operatorów e-commerce” – dodaje Rojo. „Mogą śledzić wszystkie informacje o sklepie, aby oferować badania dotyczące swoich ofert i je sprzedawać. Nasycają witrynę, ponieważ czasami jest ich tak wiele. Mogą również przeprowadzać bardzo szybkie transakcje, kupując duże ilości produktów w sprzedaży, aby odsprzedać je później na innych platformach, po wyższej cenie, co szkodzi konsumentom”.