Ένα email γεμάτο ύβρεις έστειλαν χάκερ απευθείας στον επικεφαλής της Marks & Spencer, καυχώμενοι για την πράξη τους και απαιτώντας πληρωμή, σύμφωνα με το BBC News.
Το μήνυμα, σε κακογραμμένα αγγλικά, προς τον Διευθύνοντα Σύμβουλο της M&S, Στούαρτ Μάτσιν στάλθηκε στις 23 Απριλίου από την ομάδα χάκερ DragonForce χρησιμοποιώντας έναν λογαριασμό email υπαλλήλου.
Το email επιβεβαιώνει για πρώτη φορά ότι η M&S έχει δεχτεί παραβίαση από την ομάδα ransomware, κάτι που η M&S μέχρι στιγμής αρνείται να παραδεχτεί.
«Έχουμε διασχίσει τα μονοπάτια από την Κίνα μέχρι το Ηνωμένο Βασίλειο και έχουμε βιάσει ανελέητα την εταιρεία σας και έχουμε κρυπτογραφήσει όλους τους διακομιστές», έγραψαν οι χάκερ.
«Ο δράκος θέλει να σας μιλήσει, οπότε σας παρακαλώ κατευθυνθείτε [στον ιστότοπό μας στο darknet]».
Η κυβερνοεπίθεση ήταν εξαιρετικά καταστροφική για την M&S, κοστίζοντάς της περίπου 300 εκατομμύρια λίρες. Πάνω από έξι εβδομάδες αργότερα, εξακολουθεί να μην μπορεί να λάβει ηλεκτρονικές παραγγελίες.
Το μήνυμα, το οποίο περιλαμβάνει ρατσιστικούς όρους, στάλθηκε στον Διευθύνοντα Σύμβουλο της M&S και σε επτά άλλα στελέχη.
Κλοπή δεδομένων πελατών της Marks & Spencer
Εκτός από το να καυχιούνται για την εγκατάσταση ransomware στο σύστημα IT της M&S για να το καταστήσουν άχρηστο, οι χάκερ λένε ότι έχουν κλέψει τα προσωπικά δεδομένα εκατομμυρίων πελατών.
Σχεδόν τρεις εβδομάδες αργότερα, οι πελάτες ενημερώθηκαν από την εταιρεία ότι τα δεδομένα τους ενδέχεται να έχουν κλαπεί.
Το email στάλθηκε προφανώς χρησιμοποιώντας τον λογαριασμό ενός υπαλλήλου του ινδικού γίγαντα πληροφορικής Tata Consultancy Services (TCS) – ο οποίος παρέχει υπηρεσίες πληροφορικής στην M&S για πάνω από μια δεκαετία.
Ο Ινδός εργαζόμενος πληροφορικής με έδρα το Λονδίνο έχει διεύθυνση email της M&S, αλλά είναι αμειβόμενος υπάλληλος της TCS, που φέρεται και ο ίδιος να έπεσε θύμα hacking .
Η TCS διερευνά εάν ήταν η πύλη για την κυβερνοεπίθεση. Η εταιρεία δήλωσε στο BBC ότι το email δεν στάλθηκε από το σύστημά της και ότι δεν έχει καμία σχέση με την παραβίαση στην M&S.
«Μπορούμε και οι δύο να βοηθήσουμε ο ένας τον άλλον»
Ένας σύνδεσμος darknet που κοινοποιήθηκε στο email εκβιασμού συνδέεται με μια πύλη για τα θύματα του DragonForce για να ξεκινήσουν τη διαπραγμάτευση του ποσού των λύτρων. Αυτή είναι μια περαιτέρω ένδειξη ότι το email είναι αυθεντικό.
Κοινοποίηση του συνδέσμου – οι χάκερ έγραψαν: «ας ξεκινήσουμε το πάρτι. Στείλτε μας μήνυμα, θα το κάνουμε αυτό γρήγορο και εύκολο για εμάς».
Οι εγκληματίες φαίνεται επίσης να έχουν λεπτομέρειες σχετικά με την πολιτική κυβερνοασφάλειας της εταιρείας, λέγοντας «ξέρουμε ότι μπορούμε και οι δύο να βοηθήσουμε ο ένας τον άλλον πολύ :))».
Ο Διευθύνων Σύμβουλος της M&S αρνήθηκε να πει εάν η εταιρεία έχει πληρώσει λύτρα στους χάκερ.
Η DragonForce ολοκλήρωσε το email με μια εικόνα ενός δράκου που αναπνέει φωτιά.
Το email επιβεβαιώνει για πρώτη φορά τη σύνδεση μεταξύ της παραβίασης της M&S και της συνεχιζόμενης κυβερνοεπίθεσης εναντίον της Coop, για την οποία η DragonForce ανέλαβε επίσης την ευθύνη.
Οι δύο παραβιάσεις – οι οποίες ξεκίνησαν στα τέλη Απριλίου – έχουν προκαλέσει χάος στους δύο λιανοπωλητές. Ορισμένα ράφια της Coop έμειναν άδεια για εβδομάδες, ενώ η M&S αναμένει ότι οι δραστηριότητές της θα διακοπούν μέχρι τον Ιούλιο.
Δεν είναι ακόμη σαφές ποιοι είναι οι πραγματικοί χάκερ
Η DragonForce προσφέρει σε συνεργάτες του κυβερνοεγκληματία διάφορες υπηρεσίες στον ιστότοπό της στο darknet με αντάλλαγμα ένα μερίδιο 20% από τυχόν λύτρα που συλλέγονται.
Οποιοσδήποτε μπορεί να εγγραφεί και να χρησιμοποιήσει το κακόβουλο λογισμικό τους για να κλέψει τα δεδομένα ενός θύματος ή να χρησιμοποιήσει τον ιστότοπό του στο darknet για δημόσιο εκβιασμό.
Δεν έχει εμφανιστεί τίποτα στην ιστοσελίδα διαρροής του εγκληματία στο darknet ούτε σχετικά με την Coop ούτε την M&S, αλλά οι χάκερ δήλωσαν στο BBC την περασμένη εβδομάδα ότι αντιμετώπιζαν και οι ίδιοι προβλήματα πληροφορικής και θα δημοσίευαν πληροφορίες «πολύ σύντομα».
Κάποιοι ερευνητές λένε ότι η DragonForce εδρεύει στη Μαλαισία, ενώ άλλοι λένε στη Ρωσία. Το email τους προς την M&S υπονοεί ότι είναι από την Κίνα.
Έχουν αυξηθεί οι εικασίες ότι μια χαλαρή ομάδα νεαρών δυτικών χάκερ, γνωστή ως Scattered Spider, μπορεί να είναι οι συνεργάτες σε αυτές τις επιθέσεις, καθώς και μία στο Harrods.
Η Scattered Spider δεν είναι στην πραγματικότητα μια ομάδα με την κανονική έννοια της λέξης. Είναι περισσότερο μια κοινότητα που οργανώνεται σε ιστότοπους όπως το Discord, το Telegram και φόρουμ – εξ ου και η περιγραφή «scattered», δηλαδή διασκορπισμένα, που τους δόθηκε από ερευνητές κυβερνοασφάλειας στο CrowdStrike.
Μερικοί χάκερ της Scattered Spider είναι γνωστό ότι είναι έφηβοι στις ΗΠΑ και το Ηνωμένο Βασίλειο.
Η Εθνική Υπηρεσία Καταπολέμησης του Εγκλήματος του Ηνωμένου Βασιλείου δήλωσε σε ένα ντοκιμαντέρ του BBC σχετικά με τις επιθέσεις στο λιανικό εμπόριο ότι επικεντρώνουν τις έρευνες στην ομάδα.
Το BBC μίλησε με τους χάκερ της Coop, οι οποίοι αρνήθηκαν να απαντήσουν αν ήταν ή όχι οι Scattered Spider. «Δεν θα απαντήσουμε σε αυτήν την ερώτηση» ήταν το μόνο που είπαν.
Δύο από αυτούς είπαν ότι ήθελαν να είναι γνωστοί ως «Raymond Reddington» και «Dembe Zuma» από χαρακτήρες στο Αμερικανικό αστυνομικό θρίλερ Η Μαύρη Λίστα, το οποίο αφορά έναν καταζητούμενο εγκληματία που βοηθά την αστυνομία να καταγράψει άλλους εγκληματίες που βρίσκονται σε μαύρη λίστα.
Σε μήνυμα που μου έστειλαν, καυχήθηκαν: «Βάζουμε λιανοπωλητές του Ηνωμένου Βασιλείου στη Μαύρη Λίστα».
Έχει υπάρξει μια σειρά από μικρότερες κυβερνοεπιθέσεις σε λιανοπωλητές του Ηνωμένου Βασιλείου από τότε, αλλά καμία δεν ήταν τόσο επικίνδυνη ή ανατρεπτική όσο αυτές στα Coop, M&S και Harrods.
