Miért tart ilyen sokáig megoldani az M&S kibertámadás káoszát?

Több mint egy hete káosz uralkodik a Marks and Spencer (M&S) körül, amely az Egyesült Királyság egyik legnagyobb márkája. A helyzet mögött egyértelműen egy jelentős kibertámadás áll, amely már most több millió font veszteséget okozott a cégnek elmaradt forgalom és csökkenő részvényárak formájában. Az M&S eddig nem osztotta meg a nyilvánossággal, hogy mi vagy ki okozta az online rendelési rendszerek leállását, a szállítások felfüggesztését és az üres polcokat az üzletekben. Biztonsági szakértők a BBC-nek nyilatkozva elmondták, hogy a támadás során a DragonForce nevű zsarolóprogramot használták. Ciaran Martin, a Nemzeti Kibervédelmi Központ alapító vezérigazgatója „súlyos” következményekről beszélt az M&S számára. „Ez egy igazán súlyos zsarolóprogram-epizód” – mondta. „Nagyon zavaró esemény, és rendkívül nehéz helyzet, amellyel foglalkozniuk kell.” Martin, aki jelenleg professzor az Oxfordi Egyetemen, hangsúlyozta, hogy az M&S-nak nem sok választása van, hogy beszéljen-e a támadásért felelős bandával vagy sem. „Még azok a szervezetek is, amelyek váltságdíjat fizetnek – mivel ezek bűnözők, akikben nem lehet megbízni – néha azt tapasztalják, hogy ez nem működik” – tette hozzá. „A nem fizető szervezeteknek pedig meg kell próbálniuk helyreállítani a rendszereiket és aktiválni a biztonsági mentéseket, ami rendkívül bonyolult feladat.”

A nem kibertámadással kapcsolatos technikai hibák általában gyorsan orvosolhatók. Egy hibás szoftverfrissítés vagy akár felhasználói hiba által okozott leállás sok esetben órák alatt megoldható. Azonban a kártevő felderítése és megállítása, amely a nagy országos kiskereskedők, mint az M&S rendszereiben okoz káoszt, nem gyors feladat – mondta Alan Woodward professzor, a Surrey-i Egyetem kibervédelmi szakértője. „Minden, a mit eladtak, és ezáltal mit kell újra feltölteni, valamint a kártyás fizetések lebonyolítása rendkívül összetett rendszereken múlik… jelentős időre és szakértelemre van szükség a helyzet elemzéséhez és a hacker eltávolításához” – tette hozzá. Lisa Forte, a Red Goat kibervédelmi cég partnere egyetértett ezzel. „Érett módon kezelik a zűrzavart, de elvárni, hogy bármelyik cég egy héten belül visszaállítsa a szolgáltatásait, lehetetlen” – mondta. „Nem tudok olyan szervezetről, amely ezt meg tudná tenni.”

A fenyegetés természetén is sok múlik. Minél tovább tart egy kibertámadás, annál valószínűbb, hogy zsarolóprogram áll a háttérben – állítják többen is. „Azt javaslom, hogy magas a valószínűsége annak, hogy ez egy zsarolóprogram típusú esemény” – mondta Dan Card, a BCS kiberszakértője. „Ezeket úgy írom le, mintha egy digitális bomba robbant volna fel. A helyreállítás gyakran technikailag és logisztikailag is kihívásokkal teli… a sértett szervezet valószínűleg éjjel-nappal dolgozik a válaszadáson és a helyreállításon.” A zsarolóprogramok különösen kellemetlen formájú kártevők, amelyek során a számítógép vagy számítógép-hálózat tulajdonosai kizárásra kerülnek, adataik összezavarodnak, és a támadók díjat, általában kriptovalutában, követelnek az adatok helyreállításáért. A hivatalos tanács az, hogy ne fizessenek. Végül is, bűnözőknek bíznak abban, hogy betartják az ígéretüket. De gyakran lehetetlen helyreállítani a kompromittált szolgáltatásokat a hackerek kulcsa nélkül – ami azt jelenti, hogy az egyetlen megoldás az, ha biztonsági mentéseket használnak, vagy új rendszereket telepítenek és újrakezdik.

Az M&S nem kommentálta a helyzetet, és a támadók eddig nem tették közzé követeléseiket – bár ez nem mindig történik meg, ez gyakran egy módja annak, hogy a kiberbűnözők további nyomást gyakoroljanak áldozataikra. A DragonForce, a támadás mögött álló kiberbűnöző csoport, lehetővé teszi más hackerek számára, hogy használják a rosszindulatú szoftverüket támadásokhoz, amennyiben ők is részesedést kapnak. Ami a hackereket illeti, a Scattered Spider néven ismert, meglehetősen szórványos egyének hálózatára mutogatnak, amely a 2023-as MGM Las Vegas-i szállodák elleni támadásért is felelős volt. A Bleeping Computer weboldal „több forrást” idéz, amelyek azt sugallják, hogy ők állhatnak a támadás mögött, és néhányuk tinédzser. Rik Ferguson, az Europol Európai Kibertámadásokkal Foglalkozó Központjának különleges tanácsadója szerint a csoport részvételéről szóló spekulációk megbízhatónak tűnnek, de eddig nem látott meggyőző bizonyítékot. Amikor arról kérdezték, hogy az M&S ügyfelei aggódjanak-e személyes adataik miatt, a cég azt mondta, hogy jelenleg nincs szükség intézkedésre. „Csak az M&S tudja megmondani, hogy az ügyfeleknek aggódniuk kell-e a személyes adataik miatt” – mondta. „A bizonytalanság miatt érdemes lenne, ha az M&S ügyfelei, különösen azok, akik esetleg újrahasználták az M&S fiók adataikat más webszolgáltatásokon, kezdenének változtatni ezeken a jelszavakon.” Az M&S és a Co-op a kibertámadások következtében bekövetkezett zűrzavarok helyreállításán dolgozik. A cég korábban azt mondta, hogy „nincs bizonyíték arra, hogy az ügyféladatok kompromittálódtak”. A szakértők szerint a nemzeti biztonsági kérdésekhez való ilyen, adatvédelmet hangsúlyozó platform használata rendkívül szokatlan. A Pénzügyminisztérium szerint a weboldal domainje nem kormányzati tulajdonban volt, és a hivatalnokok kapcsolatba léptek az Action Fraud nevű szervezettel. Egy tanácsi dokumentum szerint a kibervédelmi hiba „potenciális kockázatot jelent a gyermekek védelmére nézve”.

Forrás: https://www.bbc.com/news/articles/cz79547nywno