Már több mint egy hete tart a káosz a Marks and Spencer (M&S), az Egyesült Királyság egyik legnagyobb márkája számára, miután – most már nyilvánvaló – jelentős kibertámadás történt.

Ez több millió fontjába került a kieső eladásokban és a részvények árfolyamának csökkenésében.

Az M&S nem közölte, hogy mi vagy ki tette tönkre az online rendelési rendszerét, szüneteltette a kiszállításokat és üres polcokat hagyott az üzletekben..

A BBC-nek biztonsági szakértők elmondták, hogy a támadásban a DragonForce nevű zsarolóprogramot használták.

De ez még mindig sok megválaszolatlan kérdést hagy. Kezdve azzal, hogy miért tart ilyen sokáig a megoldás?

Sok nem számítógépes technikai hiba viszonylag gyorsan orvosolható. Egy hibás szoftver- vagy szerverfrissítés vagy akár felhasználói hiba által okozott kiesés gyakran órák alatt megoldható.

De a rendszereken végigsöprő és olyan mértékű pusztítást okozó rosszindulatú szoftverek megtalálása és megállítása, mint amilyeneket egy olyan nagy országos kiskereskedelmi vállalat üzemeltet, mint az M&S, nem egy gyors feladat – mondja Alan Woodward professzor, a Surrey Egyetem kiberbiztonsági szakértője.

“Minden, attól kezdve, hogy tudjuk, mit adtak el, tehát mit kell feltölteni, egészen a kártyás fizetések elfogadásáig, nagyon összetett rendszereken múlik… jelentős időbe és szakértelembe kerül, hogy elemezzék és biztosítsák, hogy kiűzték a hackert” – mondta.

Lisa Forte, a Red Goat kiberbiztonsági cég partnere egyetért.

“Érett módon kezelik a fennakadást, de azt várni, hogy bármelyik vállalat egy hét alatt bármit is visszaállít online, soha nem fog megtörténni” – mondja.

“Nem ismerek egyetlen olyan szervezetet sem, amely képes lenne erre.”

Sok múlik a fenyegetés jellegén is. Minél tovább tart egy kiberincidens, annál valószínűbb, hogy zsarolóprogramról van szó – állítja több kiberbiztonsági szakértő.

“Azt mondanám, hogy nagy a valószínűsége annak, hogy ez egy zsarolóvírus jellegű esemény” – mondja Dan Card, a BCS, az informatikai intézet kiberszakértője.

“Úgy jellemzem ezeket, mintha egy digitális bomba robbant volna fel. Így a helyreállításuk gyakran technikai és logisztikai szempontból is kihívást jelent… az áldozati szervezet valószínűleg éjjel-nappal dolgozik majd a válaszadáson és a helyreállításon.”

A ransomware egy különösen csúnya vírustörzs, amelyben egy számítógép vagy számítógép-hálózat tulajdonosát kizárják, az adatait összekuszálják, és a támadók díjat követelnek, általában kriptopénzben, a visszaállításért.

A hivatalos tanács az, hogy ne fizessen. Végül is a bűnözőkben bízik, hogy állják a szavukat.

A kompromittált szolgáltatásokat azonban gyakran lehetetlen helyreállítani a hackerek kulcsa nélkül – vagyis az egyetlen megoldás a biztonsági mentések használata vagy új rendszerek telepítése és újrakezdés.

Az M&S nem nyilatkozik, és egyelőre egyetlen támadó sem állt nyilvánosság elé semmilyen követeléssel – bár ez nem mindig történik meg, a kiberbűnözők gyakran így gyakorolnak még nagyobb nyomást áldozataikra.

A DragonForce, a kiberbűnözői banda, amelyről kedden azt mondták, hogy valószínűleg a támadás mögött áll, lehetővé teszi más hackerek számára, hogy rosszindulatú szoftvereiket támadásokhoz használják, feltéve, hogy részesedést kapnak.

Hogy kik lehetnek ezek a hackerek: az ujjak egy meglehetősen képlékeny, Scattered Spider nevű (más álnevei is vannak) személyi hálózatra mutogatnak.

Ez állt a támadás mögött a a Las Vegas-i MGM hotelek ellen 2023-ban.

A Bleeping Computer weboldal “több forrásból” idézi, hogy ők a felelősek. és azt mondja, hogy néhányan közülük tinédzserek.

Rik Ferguson, az Europol Európai Kiberbűnözési Központjának különleges tanácsadója szerint a csoport részvételéről szóló találgatások forrásai hitelesnek tűnnek, de hozzáteszi, hogy eddig nem látott meggyőző bizonyítékot.

Megkérdeztem tőle, hogy az M&S ügyfeleinek kell-e aggódniuk személyes adataik miatt: maga a cég jelenleg azt mondja, hogy nincs szükség intézkedésre.

“Csak az M&S tudja megmondani, hogy az ügyfeleknek kell-e aggódniuk a személyes adataik miatt” – mondta.

“Bizonyosság hiányában mindenképpen tanácsos lenne az M&S ügyfeleinek, különösen azoknak, akik esetleg más webes szolgáltatásokban újra felhasználták az M&S fiókjuk hitelesítő adatait, elkezdeni máshol megváltoztatni ezeket a jelszavakat.”