Det britiske stormagasin Marks & Spencer (M&S) står midt i en alvorlig cyberkrise, der har lammet virksomhedens onlineforretning og interne systemer. Angrebet er forårsaget af en ransomware-infiltration, som tilskrives hackergruppen “Scattered Spider” og M&S har nu lukket for alt deres online handel.
Angrebets forløb og metode
Cyberangrebet begyndte angiveligt allerede i februar, hvor gerningsmændene skaffede sig adgang til M&S’s interne netværk. De stjal blandt andet NTDS.dit-filen – en central database i Windows Active Directory, som indeholder krypterede adgangskoder til virksomhedens brugerkonti. Ved at dekryptere disse adgangskoder kunne hackerne bevæge sig frit i systemet og opnå adgang til følsomme data.
Den 24. april eskalerede angrebet, da hackerne anvendte ransomware-værktøjet DragonForce til at kryptere virksomhedens VMware ESXi-servere, hvilket resulterede i omfattende nedbrud af M&S’s IT-infrastruktur.
Konsekvenser for M&S
Som følge af angrebet har M&S været nødsaget til at suspendere alle online- og app-baserede ordrer. Derudover er kontaktløse betalinger i butikkerne blevet forstyrret, og omkring 200 medarbejdere på distributionscentret i Leicestershire er blevet sendt hjem på grund af driftsforstyrrelser.
Virksomheden har indledt et samarbejde med cybersikkerhedsfirmaerne CrowdStrike, Microsoft og Fenix24 for at håndtere og undersøge angrebet. M&S har desuden underrettet de britiske myndigheder, herunder Information Commissioner’s Office og National Cyber Security Centre.
Om Scattered Spider
Scattered Spider, også kendt under navne som 0ktapus, UNC3944 og Octo Tempest, er en berygtet hackergruppe, der specialiserer sig i social engineering, phishing og SIM-swapping for at infiltrere store organisationer. Gruppen består primært af unge engelsktalende medlemmer og har tidligere stået bag angreb på virksomheder som MGM Resorts og Caesars Entertainment.
Kilde:
BleepingComputer: Marks & Spencer breach linked to Scattered Spider ransomware attack
