Hackerii Marks & Spencer au trimis mesaje pline de injurii și cereri de răscumpărare direct către CEO – BBC

Hackerii Marks & Spencer au trimis un e-mail plin de insulte direct șefului retailerului, lăudându-se cu ceea ce au făcut și cerând bani, a aflat BBC News.

Mesajul adresat CEO-ului M&S, Stuart Machin, scris într-o engleză stâlcită, a fost trimis pe 23 aprilie de grupul de hackeri DragonForce folosind contul de e-mail al unui angajat.

„Am mărșăluit din China până în Marea Britanie și am violat fără milă compania voastră și am criptat toate serverele”, au scris hackerii. „Dragonul vrea să vorbească cu voi, așa că vă rugăm să accesați [site-ul nostru darknet]”.

Atacul cibernetic a cauzat daune enorme companiei M&S, estimându-se pierderi de 300 de milioane de lire sterline. După mai bine de șase săptămâni, compania încă nu poate prelua comenzi online.

E-mailul de șantaj a fost arătat BBC de un expert în securitate cibernetică.
Mesajul, care include un termen rasist, a fost trimis directorului general al M&S și altor șapte directori.

Pe lângă faptul că se laudă că au instalat un ransomware în sistemul IT al M&S pentru a-l face inutilizabil, hackerii spun că au furat datele private ale milioane de clienți.

Aproape trei săptămâni mai târziu, clienții au fost informați de companie că datele lor ar fi putut fi furate.

E-mailul a fost trimis aparent folosind contul unui angajat al gigantului indian IT Tata Consultancy Services (TCS) – care furnizează servicii IT pentru M&S de peste un deceniu.  Angajatul IT indian cu sediul în Londra are o adresă de e-mail M&S, dar este angajat al TCS. Se pare că el însuși a fost victima unui atac cibernetic.
TCS a declarat anterior că investighează dacă a fost poarta de acces pentru atacul cibernetic.

Compania a declarat pentru BBC că e-mailul nu a fost trimis din sistemul său și că nu are nicio legătură cu breșa de securitate de la M&S. M&S a refuzat să comenteze.

„Ne putem ajuta reciproc”

Un link darknet distribuit în e-mailul de șantaj conectează la un portal destinat victimelor DragonForce pentru a începe negocierea răscumpărării. Acest lucru este un indiciu suplimentar că e-mailul este autentic.

Distribuind linkul, hackerii au scris: „Să înceapă petrecerea. Trimiteți-ne un mesaj, vom face totul rapid și ușor pentru noi”.

Infractorii par să aibă și detalii despre polița de asigurare cibernetică a companiei, spunând „știm că ne putem ajuta reciproc în mod avantajos :)”.
CEO-ul M&S a refuzat să spună dacă compania a plătit o răscumpărare hackerilor.
DragonForce a încheiat e-mailul cu imaginea unui dragon care scuipă foc.

E-mailul confirmă pentru prima dată legătura dintre atacul cibernetic asupra M&S și atacul cibernetic asupra Co-op, care a avut loc aproape simultan și pentru care DragonForce și-a asumat responsabilitatea.

Cele două atacuri cibernetice, care au început la sfârșitul lunii aprilie, au provocat haos la cei doi retaileri. Unele rafturi ale Co-op au rămas goale timp de săptămâni, în timp ce M&S se așteaptă ca operațiunile sale să fie întrerupte până în iulie.
Deși știm acum că DragonForce se află în spatele ambelor atacuri, încă nu este clar cine sunt hackerii, mai scrie BBC.

DragonForce oferă afiliaților săi cibernetici diverse servicii pe site-ul lor darknet în schimbul unei reduceri de 20% din orice răscumpărare colectată.

Oricine se poate înscrie și poate utiliza software-ul lor rău intenționat pentru a cripta datele victimelor sau poate utiliza site-ul lor darknet pentru extorcare publică.
Pe site-ul din darknet nu a apărut nimic despre Co-op sau M&S, dar hackerii au declarat săptămâna trecută pentru BBC că au probleme IT și că vor publica informații „foarte curând”.

Unii cercetători spun că DragonForce are sediul în Malaezia, în timp ce alții spun că este în Rusia. E-mailul trimis către M&S sugerează că sunt din China.

Au apărut speculații că un colectiv informal de tineri hackeri occidentali cunoscut sub numele de Scattered Spider ar putea fi afiliat atacurilor cibernetice, inclusiv celui asupra Harrods.

Scattered Spider nu este un grup în sensul obișnuit al cuvântului. Este mai degrabă o comunitate organizată pe site-uri precum Discord, Telegram și forumuri – de unde și denumirea „scattered” (împrăștiat) care le-a fost dată de cercetătorii în securitate cibernetică de la CrowdStrike.

Unii hackeri din Scattered Spider sunt cunoscuți ca fiind adolescenți din SUA și Marea Britanie.

Agenția Națională de Combatere a Criminalității din Marea Britanie a declarat într-un documentar BBC despre atacurile cibernetice asupra magazinelor că investigațiile se concentrează asupra acestui grup.

BBC a vorbit cu hackerii Co-op, care au refuzat să răspundă dacă fac parte din Scattered Spider. „Nu vom răspunde la această întrebare”, au fost singurele cuvinte pe care le-au rostit.

Doi dintre ei au spus că vor să fie cunoscuți sub numele de „Raymond Reddington” și „Dembe Zuma”, după personajele din serialul american The Blacklist, în care un criminal căutat ajută poliția să prindă alți criminali aflați pe o listă neagră.

Într-un mesaj adresat BBC, ei s-au lăudat: „Punem retailerii britanici pe lista neagră”.
De atunci, au avut loc o serie de atacuri cibernetice de amploare mai redusă asupra retailerilor britanici, dar niciunul nu a avut un impact atât de perturbator precum cele asupra Co-op, M&S și Harrods.