Miért tart ilyen sokáig megoldani az M&S kibertámadás káoszát?

Már több mint egy hete tart a káosz a Marks and Spencer (M&S) körül, amely az Egyesült Királyság egyik legnagyobb márkája. A helyzet, amely a közelmúltban kibertámadás következményeként alakult ki, már most világos, hogy jelentős károkat okozott a cégnek. A támadás következtében a M&S milliókat veszített el az elmaradt eladások miatt, és a részvényei is jelentősen csökkentek. A cég eddig nem nyilatkozott arról, hogy mi vagy ki okozta az online rendelési rendszereik leállását, a szállítások felfüggesztését, valamint a boltok üres polcait.

A BBC-nek nyilatkozó biztonsági szakértők szerint a támadás során használt kiberbűnözői szoftver neve DragonForce. Ciaran Martin, a Nemzeti Kiberbiztonsági Központ alapító vezérigazgatója hangsúlyozta, hogy a helyzet „súlyos” következményekkel jár a M&S számára. „Ez egy nagyon súlyos ransomware incidens” – mondta Martin, aki jelenleg az Oxfordi Egyetem professzora. Hozzátette, hogy a M&S-nek nem sok választása maradt, függetlenül attól, hogy beszél-e a támadást elkövető bűnözőkkel vagy sem. „Még azok a szervezetek is, amelyek váltságdíjat fizetnek – hiszen ez egy megbízhatatlan bűnözőkből álló csoport –, néha csalódnak, amikor kiderül, hogy a váltságdíj nem működik” – figyelmeztetett. Azokban az esetekben, amikor a szervezet nem fizet, meg kell próbálni helyreállítani a rendszereket, és aktiválni a biztonsági mentéseket, ami rendkívül bonyolult feladat.

A nem kiberbiztonsági jellegű technikai hibák viszonylag gyorsan orvosolhatók. Egy hibás szoftverfrissítés vagy akár felhasználói hiba miatti leállás gyakran órák alatt megoldható. Azonban egy olyan méretű kiberincidens, amely egy nagy országos kiskereskedőt, mint a M&S érint, sokkal nehezebben kezelhető. Alan Woodward, a Surrey Egyetem kiberbiztonsági szakértője szerint a helyreállítás nem gyors folyamat. „Az, hogy tudjuk, mi volt eladva, és így mi szükséges pótolni, valamint a kártyás tranzakciók lebonyolítása mind bonyolult rendszerekre épül… jelentős időre és szakértelemre van szükség ahhoz, hogy elemezzék és biztosítsák, hogy a hackert eltávolították” – mondta.

Lisa Forte, a Red Goat kiberbiztonsági cég partnere is egyetértett ezzel. „Az M&S érett módon kezeli a zűrzavart, de elvárni, hogy bármelyik cég egy héten belül visszaállítsa a szolgáltatásait, soha nem fog megtörténni” – nyilatkozta. „Nem tudok olyan szervezetről, amely ezt meg tudná tenni.” A kibertámadások természetéről is sok minden függ. Minél hosszabb ideig tart egy kiberincidens, annál valószínűbb, hogy ransomware-ről van szó – mondják a szakértők. Dan Card, a BCS kiberbiztonsági szakértője úgy fogalmazott, hogy „nagy valószínűséggel kijelenthetem, hogy ez egy ransomware jellegű esemény.” A ransomware egy különösen alattomos kártevő, amelyben a számítógép vagy a számítógépek hálózata le van zárva, az adatok összezavarodnak, és a támadók díjat követelnek, általában kriptovalutában, az adatok visszaállításáért.

A hivatalos tanács az, hogy nem érdemes váltságdíjat fizetni, hiszen ezzel a bűnözőkben vetett bizalmat erősítjük. Azonban gyakran lehetetlen a sérült szolgáltatások helyreállítása a hackerek kulcsa nélkül, így az egyetlen megoldás a biztonsági mentések használata vagy új rendszerek telepítése és az újrakezdés. Az M&S nem kommentálta a helyzetet, és a támadók sem jelentkeztek eddig követeléseikkel – bár ez nem mindig történik meg, a kibertámadók gyakran így próbálnak nyomást gyakorolni az áldozatokra. A DragonForce, a támadás mögött álló kiberbűnözői csoport, más hackereknek is lehetőséget ad a szoftverük használatára, amennyiben részesedést kapnak a nyereségből. A támadást valószínűleg a Scattered Spider nevű, meglehetősen fluid hálózatú egyének követték el, amely 2023-ban az MGM Las Vegas-i hoteleit is megtámadta.

Rik Ferguson, az Europol Kiberbűnözés Elleni Központjának különleges tanácsadója szerint a csoport részvételéről szóló spekulációk hitelesnek tűnnek, de eddig nem látott meggyőző bizonyítékot. Amikor arról kérdeztem, hogy az M&S ügyfeleinek aggódniuk kellene-e a személyes adataik miatt, a cég jelenleg azt állítja, hogy nincs szükség intézkedésre. „Csak az M&S tudja megmondani, hogy az ügyfeleknek aggódniuk kell-e a személyes adataik miatt” – mondta Ferguson. „Bizonytalanság esetén érdemes lenne az M&S ügyfeleinek, különösen azoknak, akik más webszolgáltatásokon is újrahasználják az M&S fiókjukhoz tartozó jelszavakat, elkezdeniük megváltoztatni ezeket a jelszavakat.” Eközben a Marks & Spencer és a Co-op is próbálja helyreállítani a kibertámadások által okozott zűrzavart. A cég korábban azt nyilatkozta, hogy „nincs bizonyíték arra, hogy az ügyfelek adatai sérültek volna.” A szakértők szerint az ilyen jellegű adatvédelmi kérdések kezelése rendkívül szokatlan, különösen nemzeti biztonsági ügyekben. A Pénzügyi Minisztérium tájékoztatása szerint a weboldal domainje nem állami tulajdonban volt, és a hatóságok kapcsolatba léptek az Action Fraud-dal. Egy önkormányzati dokumentum pedig azt állítja, hogy a kiberbiztonsági hiba „potenciális védelmi kockázatot jelent a gyermekek számára.”

Forrás: https://www.bbc.com/news/articles/cz79547nywno