Ο πρόεδρος της Marks & Spencer (M&S), Archie Norman, επιβεβαίωσε ότι η επίθεση στα συστήματα του λιανοπωλητή τον Απρίλιο ήταν σχετική με ransomware, αλλά αρνήθηκε να πει εάν έγινε πληρωμή στους δράστες . Ο Norman έκανε τα σχόλια κατά τη διάρκεια προφορικών καταθέσεων σε μια Υποεπιτροπή Επιχειρήσεων και Εμπορίου για την Οικονομική Ασφάλεια, την Επιτροπή Ελέγχου Όπλων και Εξαγωγών στο Κοινοβούλιο του Ηνωμένου Βασιλείου στις 8 Ιουλίου . Εξήγησε ότι η αντιμετώπιση της επίθεσης, η οποία συνδέθηκε με την ομάδα Scattered Spider που χρησιμοποιεί την υποδομή ransomware DragonForce, δεν έμοιαζε με τίποτα που είχε βιώσει ποτέ στα χρόνια που εργαζόταν στις επιχειρήσεις και το λιανικό εμπόριο .
Ο Norman ρωτήθηκε άμεσα εάν η M&S είχε καταβάλει λύτρα στους επιτιθέμενους, αλλά δεν έδωσε σαφή απάντηση σε αυτό το σημείο, δηλώνοντας ότι η πραγματοποίηση μιας τέτοιας πληρωμής είναι μια «επιχειρηματική απόφαση» . «Η ερώτηση που πρέπει να κάνετε είναι όταν λαμβάνετε μια απαίτηση, τι παίρνετε για αυτήν; Επειδή μόλις τα συστήματά σας τεθούν σε κίνδυνο, πρέπει να ανοικοδομήσετε ούτως ή άλλως. Ίσως έχουν εξαγάγει δεδομένα που δεν θέλετε να δημοσιευτούν, αλλά στην περίπτωσή μας, ουσιαστικά η ζημιά είχε γίνει», είπε .
Η M&S επιβεβαίωσε ότι η παραβίαση ξεκίνησε στις αρχές Φεβρουαρίου του 2025 . Οι εισβολείς, που πιστεύεται ότι ήταν η κολεκτίβα Scattered Spider, απέκτησαν αρχική πρόσβαση στο δίκτυο του λιανοπωλητή και εξήγαγαν το αρχείο NTDS.dit του ελεγκτή τομέα των Windows, την κεντρική βάση δεδομένων Active Directory που αποθηκεύει κατακερματισμούς κωδικών πρόσβασης για κάθε χρήστη τομέα . Με αυτό το αρχείο στα χέρια τους, οι δράστες μπόρεσαν να εξαγάγουν και να σπάσουν αυτούς τους κατακερματισμούς εκτός σύνδεσης, αποδίδοντας διαπιστευτήρια απλού κειμένου για μια σειρά λογαριασμών .
Στις 24 Απριλίου, ανέπτυξαν το ωφέλιμο φορτίο ransomware DragonForce εναντίον των κεντρικών υπολογιστών VMware ESXi της M&S, κρυπτογραφώντας εικονικές μηχανές που υποστήριζαν εφαρμογές ηλεκτρονικού εμπορίου, επεξεργασίας πληρωμών και logistics . Αυτή η ενέργεια κατέστρεψε τις ανέπαφες πληρωμές και τις ηλεκτρονικές παραγγελίες, αναγκάζοντας την M&S να θέσει εκτός σύνδεσης κρίσιμα συστήματα και να αναστείλει εντελώς τις ψηφιακές υπηρεσίες . Η ταχεία αντίδραση της M&S περιελάμβανε την αναστολή των ηλεκτρονικών αγορών .
Η επίθεση είχε σημαντικό αντίκτυπο στις λειτουργίες της M&S. Η εταιρεία προειδοποίησε τους επενδυτές ότι το περιστατικό θα διαρκούσε πιθανότατα μέχρι τον Ιούνιο/Ιούλιο και θα μείωνε περίπου 300 εκατομμύρια £ από τα ετήσια κέρδη της . Η αλυσίδα λιανικής, με 65.000 υπαλλήλους και πάνω από 1.400 καταστήματα, αναγκάστηκε να κλείσει τα αυτοματοποιημένα συστήματα παραγγελιών και αποθεμάτων . Η M&S αναγκάστηκε να επιστρέψει στην παρακολούθηση των προμηθειών φρέσκων τροφίμων και ρούχων με στυλό και χαρτί, αφήνοντας κάποια ράφια άδεια και τροφοδοτώντας την απογοήτευση των πελατών .
Η M&S επιβεβαίωσε ότι οι χάκερ έκλεψαν προσωπικά στοιχεία πελατών ως μέρος της επίθεσης . Τα παραβιασμένα δεδομένα περιελάμβαναν ονόματα, διευθύνσεις, διευθύνσεις email, αριθμούς τηλεφώνου, ημερομηνίες γέννησης και ιστορικά ηλεκτρονικών παραγγελιών . Η M&S τόνισε ότι δεν ελήφθησαν πλήρεις λεπτομέρειες καρτών πληρωμής ή κωδικοί πρόσβασης .
Ο Matt Hull, ένας έμπειρος ειδικός στον τομέα της κυβερνοασφάλειας στην NCC Group, τόνισε την αύξηση κατά 50% στις περιπτώσεις ransomware τον Φεβρουάριο του 2025 σε σύγκριση με τον Ιανουάριο, αναφέροντας 886 κυβερνοεπιθέσεις . Υπό το πρίσμα αυτού του αριθμού, ο Hull προειδοποιεί ότι «οι επιχειρήσεις θα πρέπει να αναμένουν να αποτελέσουν στόχο για τους εγκληματίες του κυβερνοχώρου και να υιοθετήσουν μια προληπτική προσέγγιση στην ασφάλεια, αντί να περιμένουν να χτυπήσουν πιθανές απειλές» .
Ενώ τα φυσικά καταστήματα της M&S παρέμειναν σε λειτουργία, αντιμετώπισαν συνεχή προβλήματα, όπως μη λειτουργικές υπηρεσίες δωροκάρτας και περιορισμένες επιλογές επιστροφής . Η παραβίαση υπογραμμίζει την αυξανόμενη επίδραση των εξελιγμένων επιθέσεων ransomware σε μεγάλες εταιρείες, καθώς και τη συνεχή ανάγκη για ισχυρή ασφάλεια Active Directory .
Η M&S έχει σφραγίσει ερμητικά τα χείλη της σχετικά με το αν κατέβαλε λύτρα . Οι δημόσιες παρατηρήσεις του Norman είναι κάπως αινιγματικές . Από τη μία πλευρά, ρώτησε την Επιτροπή Επιχειρήσεων και Εμπορίου του έθνους πώς θα έπρεπε να αντιμετωπίσει μια εταιρεία μια απαίτηση για λύτρα σε αντάλλαγμα για έναν αποκρυπτογράφο ransomware . Από την άλλη πλευρά, δεν ήθελε να αποκαλύψει εάν η M&S πλήρωσε τους επιτιθέμενους της DragonForce . Εάν είναι επιτυχής, ένας οργανισμός μπορεί να απαλλαγεί από όλα τα προβλήματα σε αντάλλαγμα για πληρωμή: τα δεδομένα που κρυπτογραφούνται από το κακόβουλο λογισμικό διατίθενται ξανά, ενώ δεν δημοσιεύονται ευαίσθητα δεδομένα μέσω ενός ιστότοπου διαρροής . Κανένα δεδομένο της Marks & Spencer δεν κατέληξε στον δημόσιο ιστότοπο διαρροής της DragonForce .
Η M&S έχει επαναλάβει περιορισμένες ηλεκτρονικές πωλήσεις μετά την επίθεση ransomware . Η εταιρεία λέει ότι οι πελάτες θα μπορούν να έχουν πρόσβαση σε περισσότερα προϊόντα στο διαδίκτυο τις επόμενες εβδομάδες, καθώς τα συστήματά της επανέρχονται σε λειτουργία .