Atak Ransomware na Gigantów Detalicznych: Analiza Kampanii Przeciwko M&S, Co-op i Harrods

Przez /

Wiosna 2025 roku przyniosła serię dotkliwych ataków ransomware na brytyjskich detalistów, w tym na tak znane marki jak Marks & Spencer (M&S), Co-operative Group (Co-op) oraz luksusowy dom towarowy Harrods. Te skoordynowane incydenty, za którymi stały wyspecjalizowane grupy cyberprzestępcze, spowodowały nie tylko kradzież danych klientów, ale także znaczące zakłócenia operacyjne i straty finansowe. Ta analiza kampanii ransomware rzuca światło na ewolucję zagrożeń i taktyki stosowane przez współczesnych atakujących, dostarczając cennych lekcji dla firm każdej wielkości.

Zrozumienie mechanizmów takich ataków jest kluczowe, aby skutecznie chronić się przed ransomware. Jak pokazuje ten przypadek, cyberprzestępcy coraz częściej działają w zorganizowany sposób, łącząc zaawansowane techniki socjotechniczne z potężnym oprogramowaniem szyfrującym.

Analiza ataku ransomware na brytyjskich detalistów (M&S, Co-op, Harrods) przez grupy Scattered Spider i DragonForce. Lekcje i ochrona przed ransomware.

Przebieg Ataków na Brytyjskich Detalistów

Seria ataków dotknęła czołowych graczy na brytyjskim rynku detalicznym między końcem kwietnia a połową maja 2025 roku:

  • Marks & Spencer (M&S): Pierwsze problemy operacyjne pojawiły się pod koniec kwietnia. Oficjalne potwierdzenie kradzieży danych osobowych klientów (bez danych płatniczych) nastąpiło 13 maja. Dochodzenia wykazały, że atakujący mogli uzyskać wstępny dostęp do systemów M&S już w lutym, a kulminacją było wdrożenie ransomware DragonForce 24 kwietnia na hosty wirtualizacji VMware ESXi.
  • Co-operative Group (Co-op): Atak zgłoszono około 30 kwietnia. Firma potwierdziła wyciek ograniczonej ilości danych klientów. Incydent również powiązano z grupą DragonForce.
  • Harrods: Luksusowy dom towarowy zgłosił próbę nieautoryzowanego dostępu około 1 maja. W odpowiedzi prewencyjnie ograniczono dostęp do internetu w placówkach. Grupa DragonForce publicznie przyznała się do ataku.

Charakterystyczny dla tych incydentów był długi czas utajenia (dwell time) – np. w M&S od potencjalnego pierwszego włamania do aktywacji ransomware minęły ponad dwa miesiące. Ten czas pozwolił atakującym na dokładny rekonesans sieci, eskalację uprawnień i przygotowanie finalnego uderzenia.

Profil Grup Atakujących: Scattered Spider i DragonForce

Za atakami stała synergia dwóch grup cyberprzestępczych, co obrazuje rosnącą specjalizację w cyberprzestępczym ekosystemie:

  • Scattered Spider (UNC3944, 0ktapus, Octo Tempest): Grupa anglojęzycznych hakerów, znana z zaawansowanych i uporczywych technik socjotechnicznych. Specjalizują się w uzyskiwaniu początkowego dostępu do sieci ofiar poprzez m.in. nękanie pracowników działów pomocy technicznej (help desk) w celu resetu haseł lub obejścia MFA, kampanie phishingowe, ataki SIM swapping oraz „MFA fatigue” (bombardowanie użytkownika żądaniami MFA). Scattered Spider często współpracuje z różnymi operatorami ransomware.
  • DragonForce: Grupa działająca w modelu Ransomware-as-a-Service (RaaS), dostarczająca swoim partnerom (filiom) infrastrukturę i oprogramowanie do przeprowadzania ataków, w tym szyfrator DragonForce. Platforma ta umożliwia ataki typu „double extortion” (szyfrowanie danych plus kradzież ich kopii z groźbą publikacji).

Współpraca polegała na tym, że Scattered Spider, dzięki swoim umiejętnościom socjotechnicznym, uzyskiwała nieautoryzowany dostęp do sieci detalistów, a następnie filie DragonForce wdrażały ransomware, aby zmonetyzować ten dostęp.

Wektory Ataku i Mechanizm Działania

Analiza tych incydentów ujawnia typowe, ale skuteczne metody działania:

  • Początkowy Dostęp (Scattered Spider): Głównie socjotechnika – podszywanie się pod pracowników IT, aby skłonić personel do resetu haseł lub udostępnienia kodów MFA. Wykorzystywano również phishing oraz skradzione wcześniej dane uwierzytelniające. W przypadku M&S kluczową rolę odegrała wcześniejsza kradzież bazy danych NTDS (zawierającej skróty haseł użytkowników domeny Active Directory), co umożliwiło eskalację uprawnień i ruch boczny w sieci.
  • Wdrożenie Ransomware (DragonForce): Po uzyskaniu dostępu, filie DragonForce wdrażały oprogramowanie szyfrujące na krytyczne elementy infrastruktury. W M&S celem stały się hosty wirtualizacji VMware ESXi, co miało na celu sparaliżowanie wielu maszyn wirtualnych jednocześnie i maksymalizację zakłóceń. Standardowo dane były również eksfiltrowane przed zaszyfrowaniem (podwójne wymuszenie).

Skutki Ataków i Wnioski dla Firm

Konsekwencje tych ataków były bardzo dotkliwe:

  • Kradzież Danych Klientów: Ujawniono dane osobowe takie jak imiona, nazwiska, adresy e-mail, adresy pocztowe, daty urodzenia.
  • Poważne Zakłócenia Operacyjne: Wstrzymanie sprzedaży online na wiele tygodni, niedostępność aplikacji mobilnych, problemy z płatnościami w sklepach stacjonarnych, zakłócenia w zaopatrzeniu.
  • Ogromne Straty Finansowe: Dzienne straty M&S z powodu wstrzymania e-commerce szacowano na miliony funtów, a wartość akcji firmy znacząco spadła.
  • Szkody Reputacyjne: Opóźnienia w komunikacji o wyciekach danych (np. w M&S) mogły dodatkowo podważyć zaufanie klientów.

Lekcje dla Twojej Firmy – Jak Się Chronić?

Analiza tych ataków dostarcza cennych wskazówek dla wszystkich organizacji, nie tylko z sektora detalicznego:

  1. Wzmocnij Obronę Przed Socjotechniką: Regularne, praktyczne szkolenia świadomościowe dla wszystkich pracowników, ze szczególnym uwzględnieniem personelu IT i help desk. Wdrożenie rygorystycznych procedur weryfikacji tożsamości.
  2. Zastosuj Silne Zabezpieczenia Tożsamości: Wymuszaj stosowanie silnych, unikalnych haseł i odpornego na phishing MFA (np. kluczy FIDO2). Monitoruj aktywność kont.
  3. Implementuj Strategię Obrony w Głąb (Defense in Depth): Stosuj segmentację sieci, zasadę najmniejszych uprawnień, twórz regularne, testowane i przechowywane offline (oraz niezmienne) kopie zapasowe. Zabezpieczaj infrastrukturę wirtualizacji.
  4. Wdróż Zaawansowane Narzędzia Detekcji (EDR/XDR): Systemy Endpoint Detection and Response (EDR) i Extended Detection and Response (XDR) pomagają wykrywać wczesne sygnały kompromitacji i nietypową aktywność. Więcej o różnych narzędziach ochrony dowiesz się z artykułu o wyborze antywirusa.
  5. Zarządzaj Ryzykiem Łańcucha Dostaw: Dokładnie oceniaj bezpieczeństwo swoich dostawców i partnerów, zwłaszcza tych mających dostęp do Twoich systemów. O tym pisaliśmy więcej we wpisie o zagrożeniach dla łańcucha dostaw.
  6. Posiadaj i Testuj Plan Reagowania na Incydenty (IRP): Jasno określone procedury i odpowiedzialności są kluczowe w momencie kryzysu.

Więcej informacji na temat działania grup takich jak Scattered Spider można znaleźć w analizach firm specjalizujących się w cyberbezpieczeństwie, np. Mandiant.

Podsumowanie: Ransomware to Zorganizowana Przestępczość

Ataki ransomware na brytyjskich detalistów pokazują, że mamy do czynienia z profesjonalnymi, zorganizowanymi grupami cyberprzestępczymi, które działają w sposób metodyczny i wykorzystują specjalizację. Ochrona przed takimi zagrożeniami wymaga kompleksowego podejścia, łączącego zaawansowane technologie, solidne procedury i – co najważniejsze – wysoką świadomość cyberbezpieczeństwa wśród wszystkich pracowników.

Czy Twoja Firma Jest Przygotowana na Atak Ransomware?

Incydenty takie jak te opisane powyżej mogą dotknąć każdą organizację. Nasze szkolenia z cyberbezpieczeństwa, w tym specjalistyczne moduły dotyczące ochrony przed ransomware i reagowania na incydenty, pomogą wzmocnić odporność Twojej firmy. Skontaktuj się z Nami i Zabezpiecz Swój Biznes.

Przewijanie do góry