Uit informatie van BleepingComputer blijkt dat Scattered Spider zeer waarschijnlijk achter de hack op Marks & Spencer zat. De winkel werd op Paasmaandag geteisterd door een hack, waarvan de nasleep nog altijd merkbaar is voor Britse en Ierse klanten.
BleepingComputer spreekt over de “aanhoudende storingen” bij M&S, hoewel het enkel gaat om de operaties van de winkelketen in het Verenigd Koninkrijk en Ierland. 200 magazijnwerkers zijn volgens Sky News verteld om thuis te blijven, dat erop wijst dat de gevolgen nog langere tijd voelbaar blijven.
Hack al in februari
Tot nu toe was niet breed bekend wanneer de hack plaatsvond. Echter wijst nieuwe informatie op een infiltratie in februari. De aanvallers zouden zijn binnengekomen via een gestolen NTDS.dit-bestand, de belangrijkste database voor Active Directory Services draaiende op een Windows domain controller. Via wachtwoordhashes konden aanvallers zich lateraal door het netwerk bewegen, maar pas in april volgde een exploitatie van de infiltratie.
Op 24 april zou een DragonForce-encryptor zijn ingezet om bestanden op slot te zetten. Dit benadrukt dat M&S snel na de aanval ageerde, een positief signaal. Sterker nog, de encryptie vond ná de initiële bekendmaking van het cyberincident plaats. Dit is vrij apart, en we zijn benieuwd of er meer informatie beschikbaar zal komen vanuit securityexperts of M&S zelf.
Scattered Spider is inmiddels een bekende hackersgroep. Het kwam prominent voor in CrowdStrike’s meest recente securityrapport en zijn al in het vizier van autoriteiten wereldwijd, waaronder in de VS.
Context
Lees hier het volledige artikel: Wat er te leren valt van de cyberaanval op Marks & Spencer
Op Paasmaandag 21 april trof een cyberaanval Marks & Spencer. Contactloos betalen lag minstens 72 uur stil; click-&-collect, giftcards en remote sessies gingen op zwart, en alle online bestellingen in het VK en Ierland—goed voor een derde van de omzet in die landen—werden gepauzeerd. Terwijl de site weer “bereikbaar” leek, speelden phishers slim in op de chaos met valse kortingsmails, waardoor klanten tientallen tot honderden ponden verloren.
Feestdagen zijn geliefde momenten voor aanvallers: securityteams zijn onderbemand en vers ontdekte kwetsbaarheden nog niet overal gedicht. Of klant- of medewerkergegevens zijn buitgemaakt, blijft onduidelijk. M&S maakte het incident op 21 april bekend; CEO Stuart Machin sprak een dag later over “kleine wijzigingen”, maar in werkelijkheid konden facturen niet worden ingezien, bestellingen niet worden afgerond en personeel op afstand niet inloggen. Een volledig herstel laat, een week later, nog op zich wachten.
Positief: M&S informeerde snel de Britse NCSC, ICO en NCA en schakelde een onafhankelijk forensisch team in. De impact bleef geografisch beperkt tot het VK en Ierland, en de beurswaarde daalde “slechts” met circa vijf procent.
De belangrijkste les voor anderen is dat processen “sierlijk moeten neerstorten” zodra IT uitvalt. Een winkel moet, desnoods met pen en papier, kunnen blijven verkopen om inkomsten en klanttevredenheid veilig te stellen. Het incident toont hoe kwetsbaar omni-channel retail is tijdens feestdagen, hoe gretig phishers meeliften en hoe cruciaal snelle, transparante communicatie en robuuste noodprocedures zijn om reputatieschade te beperken.