В пятницу руководитель Marks and Spencer сообщил покупателям, что ритейлер работает «днем и ночью», чтобы полностью восстановить свою деятельность и «как можно скорее вернуть все в нормальное русло» после кибератаки, которая началась две недели назад и привела к потере более 600 млн фунтов стерлингов.
Это уже второй раз за несколько дней, когда генеральный директор Стюарт Мачин пытается успокоить клиентов, пишет Financial Times. Во вторник M&S впервые сообщила, что ее системы были взломаны и с прошлого пятницы она не может принимать онлайн-заказы. По факту инцидента начато полицейское расследование.
Розничная сеть стала первым известным брендом, который подвергся атаке киберпреступников. Спустя всего несколько дней после этого кооперативная сеть Co-op и роскошный универмаг Harrods также были вынуждены отключить некоторые IT-системы и ограничить доступ в Интернет, чтобы отразить аналогичные атаки.
Эти инциденты подчеркнули уязвимость розничного сектора Великобритании перед цифровыми угрозами и вызвали опасения, что розничные компании могут стать целью скоординированной атаки.
Тоби Льюис, руководитель отдела анализа угроз в Darktrace, сказал: «Мы не должны исключать, что эти три инцидента являются совпадением». По его словам, возможно, был взломан поставщик или технология, общие для всех трех сетей.
В четверг вечером Ричард Хорн, исполнительный директор Национального центра кибербезопасности, предупредил, что «сбои, вызванные недавними инцидентами, естественно вызывают беспокойство» и «должны стать тревожным сигналом для всех организаций».
Поздно вечером в пятницу Co-op заявила, что «продолжает сталкиваться с злонамеренными попытками хакеров получить доступ к нашим системам» и, несмотря на меры предосторожности, хакерам удалось получить доступ и извлечь имена и контактные данные значительного числа покупателей.
Компания заявила, что хакеры не получили «пароли, банковские или кредитные карты, данные о транзакциях или информацию о продуктах или услугах» клиентов.
Harrods сообщил, что все его магазины работают в обычном режиме и покупатели могут продолжать покупать товары онлайн.
Некоторые эксперты по кибербезопасности считают, что крупные розничные сети являются более привлекательной мишенью для хакеров, чем другие секторы.
«Киберпреступники, как правило, действуют по обстоятельствам», — сказал Рафе Пиллинг, директор по анализу угроз в Secureworks. «Они выбирают цели, к которым могут получить легкий доступ. Розничные продавцы, как правило, не уделяют кибербезопасности такого же приоритета, как регулируемые отрасли, и у них больше возможностей для атак на компании в сфере розничной торговли и гостеприимства, производства и здравоохранения».
Исследование юридической фирмы Irwin Mitchell, проведенное в 2024 году, показало, что британские розничные продавцы демонстрируют апатию в отношении кибербезопасности: розничные продавцы из списка FTSE 100 реже упоминают «кибербезопасность» в своих годовых отчетах по сравнению с другими секторами, несмотря на растущие риски.
По данным Управления комиссара по информации Великобритании, в 2023 году наибольшее количество нарушений кибербезопасности было зафиксировано в финансовом секторе (22 % от всех зарегистрированных инцидентов), розничной торговле (18 %) и образовании (11 %).
Хелен Дикинсон, исполнительный директор Британского консорциума розничной торговли, представляющего этот сектор, заявила, что «кибератаки представляют реальную угрозу для всех предприятий и становятся все более изощренными», а «розничные продавцы тратят сотни миллионов фунтов стерлингов ежегодно на снижение этих рисков и обеспечение возможности продолжения обслуживания клиентов».
По словам Джейми Смита, глобального управляющего директора по кибербезопасности S-RM, консалтинговой компании, предоставляющей услуги в области цифровой криминалистики, розничные продавцы также располагают обширными базами данных клиентов, содержащими платежную информацию.
Смит добавил, что «реальное время, в котором работают розничные предприятия, означает, что любое нарушение может иметь катастрофические последствия, а также быть очень заметным», что создает «большее преимущество для злоумышленников, желающих вымогать деньги».
Майкл Йейтс, партнер и глава отдела кибербезопасности юридической фирмы Harbottle & Lewis, сказал, что взлом «известного розничного бренда создает рычаг влияния… потому что жертва будет стремиться любой ценой избежать ущерба бренду и репутации, чтобы не утратить доверие клиентов», добавив: «M&S — один из самых надежных брендов в стране».
Даже если ритейлеры не заплатят выкуп, добавил он, их огромный объем данных означает, что хакеры все равно смогут получить прибыль от их продажи.
В то время как M&S, Co-op и Harrods стали последними ритейлерами, пострадавшими от сбоев в работе IT-систем, рождественские продажи в сети супермаркетов Wm Morrisons серьезно пострадали от кибератаки на поставщика технологий Blue Yonder в прошлом году. Currys и JD Sports также подверглись атакам, в результате которых были скомпрометированы данные клиентов.
M&S предупредила в своем последнем годовом отчете, что переход к гибридной форме работы после пандемии Covid-19 сделал компанию более уязвимой для кибератак, а также более широкое использование цифровых технологий и облачных систем.
Деятельность розничных продавцов также фрагментирована, охватывая магазины, онлайн-сети и мобильные сети. Они также работают с многочисленными поставщиками, что увеличивает риск атаки, сказал Смит из S-RM. Многие ритейлеры по-прежнему полагаются на устаревшие системы, которые нельзя отключить без нарушения работы касс, добавил он.
Всеобъемлющий характер технологий в бизнесе означает, что «в результате атаки с требованием выкупа все может очень просто остановиться», сказал Льюис из Darktrace.
Джордж Гласс, эксперт по киберугрозам из Kroll, сказал, что эти три инцидента могут быть делом рук Scattered Spider, хакерской группы, которая в прошлом проводила подобные акции и была связана с M&S.
Scattered Spider обычно работает с группами, занимающимися вымогательством выкупа, такими как DragonForce или RansomHub, которые могут помочь организовать утечку данных, если переговоры о выкупе окажутся безрезультатными для киберпреступников.
По словам Пиллинга из Secureworks, профиль Scattered Spider был несколько необычным. Группа аморфна, ее известные члены, как правило, подростки в возрасте 14–15 лет. Но, что особенно важно, они также говорят по-английски и, как правило, проживают на западе, добавил он. «Это необычно для киберпреступных групп — многие из них находятся за пределами западных юрисдикций, и именно так им удается долгое время уходить от ответственности».
Хотя конечной целью группы является получение денег от взлома, «в сообществе [хакеров] это просто приносит большую славу, поэтому они делают это почти ради права похвастаться», добавил Пиллинг.
В отличие от групп, которые полагаются на сложные техники, Scattered Spider «очень хорошо умеют втираться в доверие к людям, уговаривать их раскрыть учетные данные или сбросить пароль; они хорошо понимают бизнес-процессы и поэтому очень хорошо умеют манипулировать людьми», добавил он.
Льюис из Darktrace считает, что M&S потребуются «месяцы», чтобы полностью устранить последствия атаки, поскольку компании необходимо найти баланс между быстрым восстановлением систем для обслуживания клиентов и риском слишком поспешных действий, если вредоносное ПО все еще присутствует в системах. Он добавил, что при атаке «часто видны только симптомы».