Miért húzódik el ennyire az M&S kibertámadásának megoldása?
Több mint egy hete tart a káosz a Marks and Spencer (M&S), az Egyesült Királyság egyik legnagyobb márkája számára, miután egyértelművé vált, hogy jelentős kibertámadás érte a céget. A támadás következtében a vállalat több millió fontot veszített el az elmaradt értékesítések és a csökkenő részvényárak miatt. Az M&S nem tette közzé, hogy ki vagy mi áll a háttérben, ami miatt leálltak az online rendelési rendszereik, szüneteltek a szállítások, és üresek maradtak a boltok polcai. A BBC értesülései szerint a támadás során egy DragonForce nevű zsarolóvírust használtak a támadók. Ciaran Martin, a Nemzeti Kiberbiztonsági Központ alapító vezérigazgatója szerint a helyzet „súlyos” következményekkel jár az M&S számára. „Ez egy igazán rossz zsarolóvírus-epizód” – nyilatkozta. „Ez egy rendkívül zavaró esemény, és nagyon nehéz helyzet számára.”
Martin, aki jelenleg az Oxfordi Egyetem professzora, elmondta, hogy az M&S nem sok választási lehetőséggel rendelkezik, akár beszélni akarnak a támadók csoportjával, akár nem. „Még azok a szervezetek is, amelyek váltságdíjat fizetnek – mert ezek bűnözők, akiket nem lehet megbízni – néha azt tapasztalják, hogy ez nem működik” – tette hozzá. „A nem fizető szervezeteknek próbálniuk kell helyreállítani a rendszereiket és aktiválni a biztonsági mentéseket, ami rendkívül bonyolult.” A nem kiberbiztonsági okokból eredő technikai hibák általában gyorsan orvosolhatóak. Egy meghibásodott szoftverfrissítés vagy felhasználói hiba által okozott leállás gyakran órák alatt megoldható. Azonban a kártevők felderítése és megakadályozása, amelyek a rendszereken keresztül terjednek, jelentős kihívást jelent, különösen egy nagy országos kiskereskedő, mint az M&S esetében – mondta Alan Woodward professzor, a Surrey Egyetem kiberbiztonsági szakértője. „Minden, a termékek nyilvántartásában, tehát a pótlásukban, valamint a bankkártyás tranzakciók lebonyolításában bonyolult rendszerektől függ… jelentős időre és szakértelemre van szükség a helyzet elemzéséhez és a hacker kiűzéséhez” – tette hozzá.
Lisa Forte, a Red Goat kiberbiztonsági cég partnere is egyetért ezzel. „Érett módon kezelik a zavarokat, de elvárni, hogy bármelyik cég egy hét alatt bármilyen szolgáltatást újraindítson, lehetetlen” – mondta. „Nem tudok olyan szervezetről, amely ezt meg tudná tenni.” A fenyegetés természetéről is sok minden függ. Minél tovább tart egy kibertámadás, annál valószínűbb, hogy zsarolóvírusról van szó – állítják a kiberbiztonsági szakértők. „Azt javaslom, hogy van egy magas szintű bizalom arra vonatkozóan, hogy ez egy zsarolóvírus-stílusú esemény” – mondta Dan Card, a BCS, a szakképzett IT intézet kiberbiztonsági szakértője. „Ezeket úgy írom le, mint egy digitális bombát, ami felrobbant. A helyreállításuk technikailag és logisztikailag is kihívást jelent… valószínű, hogy az áldozat szervezet folyamatosan dolgozik a válaszadáson és a helyreállításon.”
A zsarolóvírus egy különösen ártalmas kártevő, amelyben a számítógép vagy számítógépek hálózatának tulajdonosát kizárják, az adataikat titkosítják, és a támadók díjat kérnek, általában kriptovalutában, az adatok helyreállításáért. Az hivatalos tanács az, hogy ne fizessünk. Végül is, bűnözőknek bízunk meg abban, hogy betartják a szavukat. De gyakran lehetetlen helyreállítani a kompromittált szolgáltatásokat anélkül, hogy ne lenne meg a hackerek kulcsa – ami azt jelenti, hogy az egyetlen lehetőség a biztonsági mentések használata vagy új rendszerek telepítése és az újrakezdés.
Az M&S nem kívánt nyilatkozni, és a támadók sem hozták nyilvánosságra a követeléseiket, ami nem mindig történik meg, de gyakran használják a kibertámadók, hogy még nagyobb nyomást gyakoroljanak áldozataikra. A DragonForce, a kibertámadó banda, amelyről kedden értesültek, lehetővé teszi más hackerek számára, hogy használják a kártékony szoftverüket, amennyiben részesedést kapnak. Ami a hackereket illeti, egy viszonylag folyékony egyénekből álló hálózatra mutatnak rá, amelyet Scattered Spider néven is ismernek, és amely 2023-ban az MGM Las Vegas-i szállodáit is megtámadta. A Bleeping Computer weboldal „több forrást” idéz, amelyek szerint ők állnak a támadás mögött, és azt is megjegyzi, hogy közülük néhányan tinédzserek. Rik Ferguson, az Europol Európai Kiberbűnözési Központának különleges tanácsadója szerint a csoport részvétele iránti spekulációk forrásai hitelesnek tűnnek, de eddig nem látott kézzelfogható bizonyítékokat.
Megkérdeztem, hogy az M&S ügyfeleinek aggódniuk kell-e a személyes adataik miatt, de a cég jelenleg azt mondja, hogy nincs szükség semmiféle intézkedésre. „Csak az M&S tudja megmondani, hogy az ügyfeleknek aggódniuk kell-e a személyes adataik miatt” – mondta. „A bizonytalanság hiányában mindenképpen tanácsos lenne az M&S ügyfeleinek, különösen azoknak, akik esetleg újrahasználták az M&S fiók hitelesítő adataikat más webszolgáltatásokon, hogy kezdjék el megváltoztatni azokat a jelszavakat máshol.” Mindez a Marks & Spencer és a Co-op kibertámadások miatt bekövetkezett zavarok helyreállításának idején történik. A vállalat korábban azt mondta, hogy „nincs bizonyíték arra, hogy az ügyféladatokat kompromittálták”. A szakértők szerint az ilyen, akár a nemzeti biztonsági ügyekhez kapcsolódó platformok használata is rendkívül szokatlan. A Pénzügyminisztérium azt nyilatkozta, hogy a weboldal domainje nem kormányzati tulajdonú, és a hivatalnokok kapcsolatba léptek az Action Frauddal. Egy tanácsi dokumentum szerint a kiberbiztonsági hiba „potenciális kockázatot jelent a gyermekek védelmére”.
Ezeket is érdemes megnézni
A parkőr, aki felhívta a világ figyelmét a Sycamore Gap fa sorsára
Mikor csökkennek újra a kamatok?
