Miért húzódik olyan sokáig az M&S kibertámadásának ügyének megoldása?

Több mint egy hete tart a zűrzavar a Marks and Spencer (M&S) egyik legnagyobb brit márkájánál, miután nyilvánvalóvá vált, hogy egy jelentős kibertámadás áldozatául esett. Az incidens következtében a cég több millió fontot veszített el az elmaradt eladások és a csökkenő részvényárfolyam miatt. Az M&S eddig nem nyilatkozott arról, hogy ki vagy mi okozta online rendelési rendszereik leállását, a szállítások felfüggesztését és az üres boltpolcokat. A BBC értesülései szerint biztonsági szakértők arról számoltak be, hogy a támadás során egy DragonForce nevű zsarolóvírust használtak.

Ciaran Martin, a Nemzeti Kibervédelmi Központ alapító vezérigazgatója kijelentette, hogy az incidens „komoly” következményekkel jár az M&S számára. „Ez egy meglehetősen súlyos zsarolóvírus-eset” – mondta. „Ez egy rendkívül zavaró esemény, és nagyon nehéz helyzetet teremt számukra.” Martin, aki jelenleg az Oxfordi Egyetem professzora, hangsúlyozta, hogy az M&S-nek nem sok lehetősége van, függetlenül attól, hogy tárgyalni kíván-e a támadást végrehajtó bűnbandával vagy sem. „Még azok a szervezetek is, amelyek váltságdíjat fizetnek – mivel ezek bűnözők, akikkel nem lehet megbízni – néha azt tapasztalják, hogy ez nem működik” – mondta. „A nem fizető szervezeteknek meg kell próbálniuk helyreállítani a rendszereiket, és aktiválni a biztonsági mentéseket, ami nagyon bonyolult feladat.”

Sok, nem kiberbiztonsággal kapcsolatos technikai probléma viszonylag gyorsan orvosolható. Egy hibás szoftverfrissítés vagy szerverhiba által okozott leállást gyakran órákon belül meg lehet oldani. Azonban a kártevő észlelése és megállítása, amely a nagy országos kiskereskedők, mint az M&S rendszereit sújtja, nem egyszerű feladat – mondta Alan Woodward professzor, a Surrey Egyetem kiberbiztonsági szakértője. „Minden, a termékek nyilvántartásától kezdve a bankkártyás fizetések lebonyolításáig, nagyon összetett rendszerektől függ … jelentős időre és szakértelemre van szükség ahhoz, hogy elemezzék és biztosítsák, hogy kiűzték a hackert” – tette hozzá.

Lisa Forte, a Red Goat kiberbiztonsági cég partnere egyetértett ezzel. „Érett módon kezelik a zűrzavart, de elvárni bármely cégtől, hogy egy hét alatt visszaállítsa a működését, lehetetlen” – mondta. „Nem tudok egyetlen olyan szervezetről sem, amely ezt meg tudná tenni.” Emellett sok múlik a fenyegetés jellegén is. Minél tovább tart egy kibertámadás, annál valószínűbb, hogy zsarolóvírusról van szó – mondják a kiberbiztonsági szakértők. „Azt javaslom, hogy magas szintű bizalommal lehet tekinteni arra, hogy ez zsarolóvírus típusú esemény” – mondta Dan Card, a BCS, az informatikai szakmai intézet kiberbiztonsági szakértője. „Ezeket olyan digitális bombákhoz hasonlítom, amelyek felrobbantak. A felépülés gyakran technikailag és logisztikailag is kihívást jelent … a sértett szervezet valószínűleg non-stop dolgozik a válaszadáson és a helyreállításon.”

A zsarolóvírus egy különösen alattomos kártevő, amelyben a számítógép vagy számítógépek hálózatának tulajdonosa kizárásra kerül, adatai titkosítva lesznek, és a támadók díjat követelnek, általában kriptovalutában, az adatok visszaállításáért. A hivatalos tanács az, hogy ne fizessenek. Végül is, bűnözőknek bízni a szavukban nem okos döntés. De gyakran lehetetlen helyreállítani a sérült szolgáltatásokat a hackerek kulcsa nélkül, így az egyetlen megoldás rendszerint a biztonsági mentések használata vagy új rendszerek telepítése és a kezdés újrakezdése.

Az M&S nem kívánt kommentálni az ügyet, és a támadók eddig nem tettek közzé követeléseket – bár ez nem mindig történik meg, gyakran ez a módja a kiberbűnözőknek, hogy további nyomást gyakoroljanak áldozataikra. A DragonForce, a kibertámadást végrehajtó bűnbanda, lehetőséget ad más hackereknek, hogy használják a kártékony szoftverüket támadásokhoz, amennyiben részesedést kapnak. A támadók személye egy elég fluid hálózatra mutat, amelyet Scattered Spider néven is ismernek, és amely a 2023-as MGM Las Vegas-i szállodák elleni támadásért is felelős. A Bleeping Computer weboldal „több forrást” idézve azt állítja, hogy ők állnak a támadás mögött, és néhányan közülük tizenévesek.

Rik Ferguson, az Europol Európai Kiberrendőrségi Központjának különleges tanácsadója szerint a csoport érintettségéről szóló pletykák megbízható forrásokra épülnek, de eddig nem látott meggyőző bizonyítékokat. Amikor megkérdeztem, hogy az M&S vásárlóinak aggódniuk kellene-e a személyes adataik miatt, a cég jelenleg azt állítja, hogy nincs szükség intézkedésre. „Csak az M&S tudja megmondani, hogy a vásárlóknak aggódniuk kell-e a személyes adataik miatt” – mondta. „A bizonytalanság miatt mindenképpen ajánlott az M&S vásárlói számára, különösen azoknak, akik esetleg újrahasználták M&S-fiókjuk adatait más webszolgáltatásokon, hogy kezdjenek el jelszavakat változtatni.” Az incidens idején a Marks & Spencer és a Co-op a kibertámadások miatt fellépő zűrzavarból próbál helyreállni. A vállalat korábban azt nyilatkozta, hogy „nincs bizonyíték arra, hogy a vásárlói adatok veszélybe kerültek volna”. A szakértők szerint a nemzeti biztonsági kérdésekhez való ilyen magánszemélyek érintése rendkívül szokatlan. A Pénzügyi Minisztérium arról tájékoztatott, hogy a weboldal domainje nem volt állami tulajdonban, és a hivatalnokok kapcsolatba léptek az Action Fraud ügynökséggel. Egy önkormányzati dokumentum pedig azt állítja, hogy a kibertámadás következményei „potenciális védelmi kockázatot jelentenek a gyermekek számára”.

Forrás: https://www.bbc.com/news/articles/cz79547nywno