Miért tart olyan sokáig az M&S kibertámadásának megoldása?
Már több mint egy hete tart a káosz a Marks and Spencer (M&S) számára, amely az Egyesült Királyság egyik legnagyobb brandje. A helyzet egyértelműen egy jelentős kibertámadás következménye, amely millió fontnyi elmaradt bevételt és csökkenő részvényárfolyamot okozott a vállalatnak. Az M&S eddig nem közölt információkat arról, hogy mi vagy ki akadályozta meg online rendelési rendszereit, állította le a szállításokat, és hagyta üresen a boltjait. A BBC információi szerint a támadást a DragonForce nevű zsarolóprogram okozta. Ciaran Martin, a Nemzeti Kibervédelmi Központ alapító vezérigazgatója kijelentette, hogy a támadás „súlyos” következményekkel jár az M&S számára. „Ez egy elég súlyos zsarolóprogram-epizód” – mondta. „Ez egy rendkívül zavaró esemény, és nagyon nehéz helyzetet teremt számukra.” Martin, aki jelenleg az Oxfordi Egyetem professzora, kiemelte, hogy az M&S-nek nem sok választási lehetősége van, függetlenül attól, hogy beszél-e a támadást végrehajtó bűnbandával vagy sem. „Még azok a szervezetek is, amelyek váltságdíjat fizetnek – mivel ez egy bűnözőkből álló csoport, akiben nem lehet megbízni – néha azt tapasztalják, hogy ez nem működik” – tette hozzá. „Azokban a szervezetekben, amelyek nem fizetnek, próbálkozni kell a dolgok helyreállításával és a biztonsági mentések aktiválásával, ami rendkívül bonyolult.”
A nem kiberbiztonsággal kapcsolatos technikai problémák viszonylag gyorsan orvosolhatók. Egy hibás szoftver- vagy szerverfrissítés, vagy akár felhasználói hiba által okozott leállás gyakran néhány órán belül megoldható. Azonban egy olyan kiterjedt malware azonosítása és megállítása, amely rendszereken keresztül terjed és káoszt okoz, mint amit egy nagy kiskereskedő, mint az M&S üzemeltet, nem könnyű feladat – mondta Alan Woodward professzor, a Surrey Egyetem kiberbiztonsági szakértője. „Minden, a termékek nyilvántartásától kezdve, ami szükséges a készletezéshez, a kártyás fizetések lebonyolításáig rendkívül összetett rendszereken alapul… jelentős időt és szaktudást igényel az elemzés, és biztosítani, hogy sikerült kiűzniük a hackert” – mondta.
Lisa Forte, a Red Goat kiberbiztonsági cég partnere is egyetértett ezzel. „Érett módon kezelik a zavarokat, de elvárni, hogy bármelyik cég egy hét alatt visszatérjen a normál működéshez, soha nem fog megtörténni” – mondta. „Nem tudok egyetlen olyan szervezetről sem, amely ezt megtehetné.” A fenyegetés természetén is sok múlik. Minél tovább tart egy kiberincidens, annál valószínűbb, hogy zsarolóprogramról van szó – állítják a kiberbiztonsági szakértők. „Azt javaslom, hogy nagy a valószínűsége annak, hogy ez egy zsarolóprogram típusú esemény” – mondta Dan Card, a BCS kiberbiztonsági szakértője. „Ezeket úgy írom le, mint egy digitális bombát, amely felrobbant. Az ilyen helyzetekből való felépülés technikailag és logisztikailag is kihívásokkal teli… a sértett szervezet valószínűleg folyamatosan dolgozik a válaszlépéseken és a helyreállításon.”
A zsarolóprogramok különösen alattomos típusú malware-ek, amelyek során a számítógép vagy a számítógépek hálózata zárolva van, az adatok összekuszálódtak, és a támadók díjat követelnek, általában kriptovalutában, a hozzáférés visszaállításához. A hivatalos ajánlás az, hogy nem érdemes váltságdíjat fizetni, hiszen végső soron bűnözőkbe bízod magad, hogy betartják ígéretüket. De gyakran lehetetlenség a sérült szolgáltatások helyreállítása a hackerek kulcsa nélkül – így a megoldás vagy a biztonsági mentések használata, vagy új rendszerek telepítése és az újrakezdés. Az M&S nem kívánt nyilatkozni, és a támadó sem hozta nyilvánosságra követeléseit – bár ez nem mindig történik meg, gyakran ez is egy módja a kibertámadók számára, hogy további nyomást gyakoroljanak áldozataikra.
A DragonForce, amelyről kedden érkezett a hír, hogy valószínűleg a támadás mögött áll, lehetőséget ad más hackereknek, hogy a legális szoftverüket felhasználják támadásokhoz, feltéve, hogy a nyereség egy része nekik is jut. Ami a hackereket illeti, a Scattered Spider néven ismert, meglehetősen fluid csoport nevét emlegetik, amely más álnév alatt is ismert. Ők voltak felelősek a 2023-as MGM Las Vegas-i szállodák elleni támadásért is. A Bleeping Computer weboldal „több forrást” idéz, amelyek azt sugallják, hogy ők állnak a támadás mögött, és néhány tagjuk tinédzser. Rik Ferguson, az Europol Európai Kiberbűnözési Központjának különleges tanácsadója szerint a csoport érintettségére vonatkozó spekulációk forrásai hitelesnek tűnnek, de eddig nem látott meggyőző bizonyítékokat. Arra a kérdésre, hogy az M&S vásárlóinak aggódniuk kellene-e személyes adataik miatt, a cég jelenleg azt állítja, hogy nincs szükség semmilyen intézkedésre. „Csak az M&S tudja megmondani, vajon az ügyfeleknek aggódniuk kell-e a személyes adataik miatt” – mondta. „A bizonytalanság hiányában célszerű lenne az M&S ügyfeleinek, különösen azoknak, akik esetleg más weboldalakon is újrahasználták az M&S fiókjuk hitelesítő adatait, elkezdeniük megváltoztatni a jelszavaikat máshol.” Ez a helyzet a Marks & Spencer és a Co-op számára is, akik éppen a kibertámadások okozta zavaroktól próbálnak helyreállni. A cég korábban kijelentette, hogy „nincs bizonyíték arra, hogy az ügyféladatokat megsértették”. A szakértők szerint a nemzeti biztonsági kérdésekhez kapcsolódó olyan platform használata, amely a magánélet védelmére összpontosít, nagyon szokatlan. A Pénzügyi Minisztérium közölte, hogy a weboldal domainje nem kormányzati tulajdonban van, és a hivatalnokok felvették a kapcsolatot az Action Fraud-dal. Egy önkormányzati dokumentum szerint a kiberbiztonsági hiba „potenciális védelmi kockázatot jelent a gyermekek számára.”
Ezeket is érdemes megnézni
Holdpor érkezett Kínából az Egyesült Királyságba, amely ritkább a goldnál
Megfékezték a Just Stop Oil mozgalmat, most a föld alá húzódtak
