Кибератака вызвала сбой в работе Marks&Spencer

Торговая сеть Marks & Spencer подверглась кибератаке с использованием вируса-вымогателя. В результате кибератаки была нарушена операционная деятельность компании. Вероятно, злоумышленники украли некоторые конфиденциальные данные. Последствия кибератаки могут преследовать ритейлера еще долго.

Marks & Spencer (M&S) — британская розничная компания, в которой работают более 64 тыс. сотрудников. Более 1400 магазинов этой сети по всему миру продают различные товары, включая одежду, продукты питания и товары для дома.

Недавно представители M&S подтвердили, что на компанию была организована кибератака, вызвавшая масштабные сбои. Так, некоторое время была затруднена работа систем бесконтактных платежей и онлайн-заказов. Во вторник, 28 апреля, стало известно, что атака продолжается. В частности, она затронула работу склада. Около 200 работников распущены по домам, пока компания пытается локализовать инцидент.

Как стало известно журналистам, продолжающиеся сбои в инфраструктуре Marks & Spencer вызваны атакой с использованием вируса-вымогателя, в ходе которой были зашифрованы серверы компании.

Предположительно, злоумышленники взломали сеть Marks & Spencer еще в феврале. Тогда они смогли скопировать файл NTDS.dit, который содержит базу Active Directory. В этом файле хранятся хэши паролей для учетных записей Windows, которые хакеры могут извлечь и взломать в автономном режиме, чтобы получить доступ к паролям в текстовом виде.

Используя эти учетные данные, злоумышленники могут следовать по всему домену Windows, похищая данные с различных сетевых устройств и серверов.

По данным некоторых источников, 24 апреля злоумышленники развернули шифровальщик DragonForce на хостах VMware ESXi для шифрования виртуальных машин.

Для реагирования на кибератаку и расследования инцидента сеть Marks & Spencer обратилась за поддержкой в компании CrowdStrike, Microsoft и Fenix24.

К настоящему времени расследование показало, что за атакой на ритейлера стоит хакерская группировка Scattered Spider, также известная как Octo Tempest, 0ktapus, Starfraud, UNC3944, Scatter Swine и Muddled Libra.

Кто такие Scattered Spider?

В число участников группировки Scattered Spider, которая действует как минимум с 2022 года, входят молодые (в возрасте от 16 лет) люди, говорящие по-английски. Они обладают различными навыками и посещают хакерские форумы, каналы Telegram и серверы Discord. Затем эти площадки используются для планирования и проведения атак.

Хотя ряд СМИ и исследователей называют Scattered Spider сплоченной кибербандой, на самом деле она представляет из себя сеть разрозненных сообществ, вовлеченных в акты насилия и киберинциденты.

Для получения начального доступа к сетям крупных организаций представители этой группировки искусно используют атаки с использованием социальной инженерии, фишинг, методы обхода многофакторной аутентификации (MFA) и подмену SIM-карт.

Вначале участники Scattered Spider занимались финансовыми мошенничествами и взламывали соцсети. Постепенно они стали переходить на сложные атаки на основе социальной инженерии, чтобы похитить криптовалюту у отдельных лиц или взломать крупные компании с целью получения выкупа.

Поворотным моментом в череде атак Scattered Spider стал сентябрь 2023 г., когда хакеры взломали компанию MGM Resorts, одного из лидеров американского рынка гостеприимства, используя социальную инженерию. В ходе этой атаки злоумышленники применяли программу-вымогатель BlackCat для шифрования более 100 гипервизоров VMware ESXi. По словам исследователей, взлом MGM был первым известным случаем взаимодействия англоязычных злоумышленников с группами русскоязычных хакеров.

По словам специалистов по кибербезопасности, злоумышленники из Scattered Spider действуют как лица, аффилированные с такими программами-вымогателями, как RansomHub, Qilin, а теперь и DragonForce.

В апреле 2025 г. фирма Silent Push опубликовала отчет, в котором описываются последние фишинговые атаки со стороны Scattered Spider. В числе брендов, на которые нацеливается эта группировка в 2025 году, названы Audemars Piguet, Chick-fil-A, Credit Karma, Forbes, Instacart, Louis Vuitton, Morningstar, New York Digital Investment Group, News Corporation, Nike, Paxos, Twitter/X, Tinder, T-Mobile, Vodafone.

Источник: Bleeping Computer