Хакери атакують відомі британські бренди

У п’ятницю керівник Marks and Spencer повідомив покупцям, що ритейлер працює «днем і ніччю», щоб повністю відновити свою діяльність і «якнайшвидше повернути все в нормальне русло» після кібератаки, яка почалася два тижні тому і призвела до втрати понад 600 млн фунтів стерлінгів.

Це вже другий раз за кілька днів, коли генеральний директор Стюарт Мачин намагається заспокоїти клієнтів, пише Financial Times. У вівторок M&S вперше повідомила, що її системи були зламані і з минулої п’ятниці вона не може приймати онлайн-замовлення. За фактом інциденту розпочато поліцейське розслідування.

Роздрібна мережа стала першим відомим брендом, який піддався атаці кіберзлочинців. Вже через кілька днів після цього кооперативна мережа Co-op і розкішний універмаг Harrods також були змушені відключити деякі IT-системи і обмежити доступ до Інтернету, щоб відбити аналогічні атаки.

Ці інциденти підкреслили вразливість роздрібного сектора Великобританії перед цифровими загрозами і викликали побоювання, що роздрібні компанії можуть стати метою скоординованої атаки.

Тобі Льюїс, керівник відділу аналізу загроз в Darktrace, сказав: «Ми не повинні виключати, що ці три інциденти є збігом». За його словами, можливо, був зламаний постачальник або технологія, спільні для всіх трьох мереж.

У четвер ввечері Річард Хорн, виконавчий директор Національного центру кібербезпеки, попередив, що «збої, викликані недавніми інцидентами, природно викликають занепокоєння» і «повинні стати тривожним сигналом для всіх організацій».

Пізно ввечері в п’ятницю Co-op заявила, що «продовжує стикатися зі зловмисними спробами хакерів отримати доступ до наших систем» і, незважаючи на запобіжні заходи, хакерам вдалося отримати доступ і витягти імена та контактні дані значної кількості покупців.

Компанія заявила, що хакери не отримали «паролі, банківські або кредитні картки, дані про транзакції або інформацію про продукти чи послуги» клієнтів.

Harrods повідомив, що всі його магазини працюють у звичайному режимі і покупці можуть продовжувати купувати товари онлайн.

Деякі експерти з кібербезпеки вважають, що великі роздрібні мережі є більш привабливою мішенню для хакерів, ніж інші сектори.

«Кіберзлочинці, як правило, діють за обставинами», — сказав Рафе Піллінг, директор з аналізу загроз в Secureworks. «Вони вибирають цілі, до яких можуть отримати легкий доступ. Роздрібні продавці, як правило, не приділяють кібербезпеці такого ж пріоритету, як регульовані галузі, і у них більше можливостей для атак на компанії в сфері роздрібної торгівлі та гостинності, виробництва та охорони здоров’я».

Дослідження юридичної фірми Irwin Mitchell, проведене в 2024 році, показало, що британські роздрібні продавці демонструють апатію щодо кібербезпеки: роздрібні продавці зі списку FTSE 100 рідше згадують «кібербезпеку» у своїх річних звітах порівняно з іншими секторами, незважаючи на зростаючі ризики.

За даними Управління комісара з інформації Великобританії, у 2023 році найбільша кількість порушень кібербезпеки була зафіксована у фінансовому секторі (22 % від усіх зареєстрованих інцидентів), роздрібній торгівлі (18 %) та освіті (11 %).

Хелен Дікінсон, виконавчий директор Британського консорціуму роздрібної торгівлі, що представляє цей сектор, заявила, що «кібератаки становлять реальну загрозу для всіх підприємств і стають все більш витонченими», а «роздрібні продавці витрачають сотні мільйонів фунтів стерлінгів щорічно на зниження цих ризиків і забезпечення можливості продовження обслуговування клієнтів».

За словами Джеймі Сміта, глобального керуючого директора з кібербезпеки S-RM, консалтингової компанії, що надає послуги в галузі цифрової криміналістики, роздрібні продавці також мають у своєму розпорядженні великі бази даних клієнтів, що містять платіжну інформацію.

Сміт додав, що «реальний час, в якому працюють роздрібні підприємства, означає, що будь-яке порушення може мати катастрофічні наслідки, а також бути дуже помітним», що створює «більшу перевагу для зловмисників, які бажають вимагати гроші».

Майкл Йейтс, партнер і глава відділу кібербезпеки юридичної фірми Harbottle & Lewis, сказав, що злом «відомого роздрібного бренду створює важелі впливу… тому що жертва буде прагнути за будь-яку ціну уникнути шкоди бренду і репутації, щоб не втратити довіру клієнтів», додавши: «M&S — один з найнадійніших брендів у країні».

Навіть якщо ритейлери не заплатять викуп, додав він, їхній величезний обсяг даних означає, що хакери все одно зможуть отримати прибуток від їх продажу.

У той час як M&S, Co-op і Harrods стали останніми ритейлерами, які постраждали від збоїв в роботі IT-систем, різдвяні продажі в мережі супермаркетів Wm Morrisons серйозно постраждали від кібератаки на постачальника технологій Blue Yonder в минулому році. Currys і JD Sports також зазнали атак, в результаті яких були скомпрометовані дані клієнтів.

M&S попередила в своєму останньому річному звіті, що перехід до гібридної форми роботи після пандемії Covid-19 зробив компанію більш вразливою для кібератак, а також більш широке використання цифрових технологій і хмарних систем.

Діяльність роздрібних продавців також фрагментована, охоплюючи магазини, онлайн-мережі та мобільні мережі. Вони також працюють з численними постачальниками, що збільшує ризик атаки, сказав Сміт з S-RM. Багато рітейлерів як і раніше покладаються на застарілі системи, які не можна відключити без порушення роботи кас, додав він.

Всеосяжний характер технологій в бізнесі означає, що «в результаті атаки з вимогою викупу все може дуже просто зупинитися», сказав Льюїс з Darktrace.

Джордж Гласс, експерт з кіберзагроз з Kroll, сказав, що ці три інциденти можуть бути справою рук Scattered Spider, хакерської групи, яка в минулому проводила подібні акції і була пов’язана з M&S.

Scattered Spider зазвичай працює з групами, що займаються вимаганням викупу, такими як DragonForce або RansomHub, які можуть допомогти організувати витік даних, якщо переговори про викуп виявляться безрезультатними для кіберзлочинців.

За словами Піллінга з Secureworks, профіль Scattered Spider був дещо незвичайним. Група аморфна, її відомі члени, як правило, підлітки віком 14–15 років. Але, що особливо важливо, вони також розмовляють англійською і, як правило, проживають на заході, додав він. «Це незвично для кіберзлочинних груп — багато з них знаходяться за межами західних юрисдикцій, і саме так їм вдається довгий час уникати відповідальності».

Хоча кінцевою метою групи є отримання грошей від злому, «у спільноті [хакерів] це просто приносить велику славу, тому вони роблять це майже заради права похвалитися», додав Піллінг.

На відміну від груп, які покладаються на складні техніки, Scattered Spider «дуже добре вміють втиратися в довіру до людей, вмовляти їх розкрити облікові дані або скинути пароль; вони добре розуміють бізнес-процеси і тому дуже добре вміють маніпулювати людьми», додав він.

Льюїс з Darktrace вважає, що M&S знадобляться «місяці», щоб повністю усунути наслідки атаки, оскільки компанії необхідно знайти баланс між швидким відновленням систем для обслуговування клієнтів і ризиком надто поспішних дій, якщо шкідливе ПЗ все ще присутнє в системах. Він додав, що під час атаки «часто видно тільки симптоми».