Уже больше недели хаос для Marks and Spencer (M&S), одного из крупнейших брендов Великобритании, после того, что — теперь очевидно — является значительной кибератакой.
Это стоило компании миллионов фунтов стерлингов из-за потерянных продаж и снижения стоимости акций.
M&S не сообщила, что или кто вывел из строя ее системы онлайн-заказов, приостановил поставки и оставил пустые полки в магазинах.
Эксперты по безопасности сообщили BBC, что в атаке использовалась программа-вымогатель под названием DragonForce.
Но это все еще оставляет много вопросов без ответа. Начнем с того, почему это так долго решается?
Многие технические сбои, не связанные с кибербезопасностью, можно исправить относительно быстро. Сбой, вызванный неисправным программным обеспечением или обновлением сервера, или даже ошибкой пользователя, часто можно устранить за несколько часов.
Но попытка найти и остановить вредоносное ПО, проникающее в систему и вызывающее хаос в масштабах, управляемых крупным общенациональным ритейлером, таким как M&S, — это небыстрая работа, говорит профессор Алан Вудворд, эксперт по кибербезопасности из Университета Суррея.
«Все, от знания того, что было продано, следовательно, что нужно пополнить, до приема платежей по картам, очень зависит от сложных систем… потребуется значительное время и экспертиза, чтобы проанализировать и убедиться, что они изгнали хакера», — сказал он.
Лиза Форте, партнер в фирме по кибербезопасности Red Goat, согласна.
«Они справляются с перебоями зрелым образом, но ожидать, что какая-либо компания вернет что-либо в сеть за неделю, никогда не получится», — говорит она.
«Я не знаю ни одной организации, которая могла бы это сделать».
«Цифровая бомба»
Многое также зависит от характера угрозы. Чем дольше длится киберинцидент, тем больше вероятность, что это вирус-вымогатель, говорят многочисленные эксперты по кибербезопасности.
«Я бы предположил, что есть высокая степень уверенности в том, что это событие типа вируса-вымогателя», — говорит Дэн Кард, киберэксперт в BCS, сертифицированном институте ИТ.
«Я описываю их как взорвавшуюся цифровую бомбу. Поэтому восстановление после них часто бывает сложным как с технической, так и с логистической точки зрения… организация-жертва, скорее всего, будет работать круглосуточно, чтобы отреагировать и восстановиться».
Программы-вымогатели — это особенно опасный штамм вируса, при котором владелец компьютера или сети компьютеров оказывается заблокированным, его данные зашифрованы, а злоумышленники требуют плату, обычно в криптовалюте, за их восстановление.
Официальный совет — не платить. В конце концов, вы доверяете преступникам, которые сдержат свое слово.
Но часто бывает невозможно восстановить взломанные сервисы без ключа хакеров, а это значит, что единственный способ обойти это — использовать резервные копии или установить новую систему и начать все заново.
M&S не будет комментировать, и ни один злоумышленник пока не выступил с какими-либо требованиями публично, хотя это происходит не всегда, для киберпреступников это часто является способом оказать большее давление на своих жертв.
DragonForce, киберпреступная группировка, о которой нам сообщили во вторник, вероятно, стоит за атакой, позволяет другим хакерам использовать свое вредоносное программное обеспечение для атак, если они получат долю.
Что касается того, кем могут быть эти хакеры: пальцы указывают на довольно изменчивую сеть лиц под названием Scattered Spider (у нее также есть другие псевдонимы).
Она стояла за атакой на отели MGM Las Vegas в 2023 году.
Сайт Bleeping Computer ссылается на «множество источников», предполагающих, что они несут ответственность, и утверждает, что некоторые из них — подростки.
Рик Фергюсон, специальный советник Европейского центра по киберпреступности Европола, говорит, что источники предположений о причастности группы кажутся достоверными, но добавляет, что пока не видел никаких убедительных доказательств.
Я спросил его, следует ли клиентам M&S беспокоиться о своей личной информации: сама фирма в настоящее время заявляет, что никаких действий не требуется.
«Только M&S может сказать нам, следует ли клиентам беспокоиться о своих личных данных», — сказал он.
«В отсутствие определенности, безусловно, было бы целесообразно для клиентов M&S, особенно тех, кто мог повторно использовать свои учетные данные M&S на других веб-сервисах, начать менять эти пароли в другом месте».