Brytyjski gigant detaliczny Marks & Spencer od ponad miesiąca zmaga się z konsekwencjami jednego z najbardziej kosztownych cyberataków w historii brytyjskiego sektora detalicznego. Incydent, który rozpoczął się w lutym 2025 roku, ale został wykryty dopiero w kwietniu, doprowadził do całkowitego wstrzymania sprzedaży online i strat finansowych sięgających 300 milionów funtów. Atak przeprowadzony przez grupę Scattered Spider stanowi przykład rosnącego zagrożenia ransomware dla dużych korporacji, pokazując jednocześnie, jak długotrwałe mogą być konsekwencje skutecznej infiltracji systemów IT.

‍

Metodologia sprawców

Grupa hakerska Scattered Spider, znana również pod pseudonimami UNC3944, Octo Tempest czy Muddled Libra, zastosowała wyrafinowaną kombinację technik infiltracji. Sprawcy rozpoczęli atak już w lutym 2025 roku, infiltrując systemy M&S i pozostając niezauważeni przez kilka tygodni. Kluczowym elementem ataku było pozyskanie pliku NTDS.dit z domeny Windows - wrażliwej bazy danych zawierającej dane uwierzytelniające użytkowników całej sieci korporacyjnej.

‍

Zastosowane narzędzia i techniki

Hakerzy wykorzystali zaawansowane metody inżynierii społecznej, w tym ataki phishingowe mające na celu wprowadzenie pracowników w błąd i skłonienie ich do ujawnienia poufnych informacji. Szczególnie perfidną techniką był "MFA fatigue" - bombardowanie użytkowników wielokrotnymi żądaniami uwierzytelnienia wieloskładnikowego w nadziei, że z frustracji lub zmęczenia zaakceptują jedno z nich. 24 kwietnia 2025 roku sprawcy wdrożyli oprogramowanie ransomware DragonForce na hosty VMware ESXi, skutecznie szyfrując maszyny wirtualne i paraliżując kluczowe systemy operacyjne firmy.

‍

Charakterystyka grupy Scattered Spider

Scattered Spider to jedna z najbardziej niebezpiecznych i aktywnych grup hakerskich monitorowanych obecnie przez ekspertów cyberbezpieczeństwa. Od momentu pojawienia się w 2022 roku, organizacja ta została powiązana z ponad 100 ukierunkowanymi atakami na różne branże, w tym telekomunikację, finanse, handel detaliczny i gaming. Grupa wyróżnia się młodym wiekiem swoich członków - niektórzy mają zaledwie 16 lat - oraz aktywnością na forach hakerskich, kanałach Telegram i serwerach Discord.

Powiązania z szerszą siecią przestępczą

Członkowie Scattered Spider są również powiązani z "Com" - luźno powiązaną społecznością znaną z działalności cyberprzestępczej i przestępstw w świecie rzeczywistym, która przyciągnęła uwagę mediów. Ta sieć połączeń wskazuje na profesjonalizację młodego pokolenia cyberprzestępców i ich zdolność do przeprowadzania ataków na poziomie dotychczas zarezerwowanym dla państwowych grup hakerskich.

‍

‍

Wpływ operacyjny na działalność M&S

Cyberatak spowodował natychmiastowe wstrzymanie zamówień online w Wielkiej Brytanii i Irlandii jako środek ostrożności. W sklepach stacjonarnych pojawiły się "punktowe ograniczenia dostępności" produktów, a niektóre lokalizacje, jak Liverpool, zostały zmuszone do masowej redukcji asortymentu żywnościowego z powodu spadku ruchu klientów. Firma musiała zwolnić około 200 pracowników tymczasowych z głównego centrum dystrybucyjnego z powodu spowolnienia przetwarzania zamówień.

Przejście na procesy manualne

Konieczność zastąpienia zautomatyzowanych systemów procesami manualnymi spowodowała znaczne zwiększenie kosztów operacyjnych i logistycznych. Sprzedaż żywności ucierpiała z powodu ograniczonej dostępności, choć jak podkreśla firma, sytuacja już się poprawia. Sektor Fashion, Home & Beauty został szczególnie dotknięty przez decyzję o wstrzymaniu sprzedaży online, mimo że sklepy stacjonarne pozostały odporne na zakłócenia.

‍

‍

Wpływ operacyjny na działalność M&S

Bezpośrednie straty finansowe

Marks & Spencer szacuje łączne straty wynikające z cyberataku na około 300 milionów funtów. Kwota ta obejmuje utracone przychody ze sprzedaży online, dodatkowe koszty operacyjne związane z przejściem na procesy manualne oraz straty wynikające z marnowania produktów. Firma poniosła również znaczne koszty związane z zatrudnieniem zewnętrznych firm cyberbezpieczeństwa do zbadania i opanowania incydentu.

Reakcja rynku kapitałowego

Akcje M&S spadły o 2,2 procenta do 377,3 pensa na koniec kwietnia, co oznaczało utratę ponad 700 milionów funtów z wartości rynkowej spółki od momentu ujawnienia cyberataku. Ta reakcja rynku odzwierciedla nie tylko bezpośrednie straty finansowe, ale również obawy inwestorów co do długoterminowego wpływu incydentu na reputację i konkurencyjność firmy.

Naruszenie danych osobowych klientów

Zakres kompromitacji danych

Firma potwierdziła, że sprawcy uzyskali dostęp do "osobistych danych klientów", jednak M&S zapewnia, że nie obejmowały one użytecznych danych płatniczych, szczegółów kart kredytowych ani haseł. Pomimo tych zapewnień, jako dodatkowy środek ostrożności, firma poprosi wszystkich klientów o zmianę haseł przy następnym logowaniu do ich kont online.

Środki ostrożności dla klientów

Decyzja o wymuszonej zmianie haseł, mimo że według firmy nie zostały one skompromitowane, wskazuje na ostrożne podejście do zarządzania ryzykiem i chęć zapewnienia klientom "dodatkowego spokoju ducha". To działanie, choć może być postrzegane jako niedogodność, demonstruje proaktywne podejście do ochrony danych klientów.

‍

Odpowiedź na incydent i zarządzanie kryzysem

Zaangażowanie ekspertów zewnętrznych

M&S szybko zaangażował renomowane firmy cyberbezpieczeństwa do wsparcia w odpowiedzi na incydent. CrowdStrike został zatrudniony do prowadzenia analizy forensycznej i opanowania zagrożenia, Microsoft zapewnił wsparcie dla infrastruktury chmurowej, a Fenix24 dostarczył specjalistyczne doradztwo w zakresie cyberbezpieczeństwa. To wieloaspektowe podejście pokazuje złożoność współczesnych incydentów ransomware i potrzebę angażowania różnorodnych ekspertyz.

Komunikacja z interesariuszami

CEO Stuart Machin wystosował oficjalny komunikat do klientów, w którym przeprosił za niedogodności i zapewnił o podjęciu niezbędnych kroków ochronnych. Jednak BBC poinformował o frustracji niektórych klientów z powodu "rozczarowującej" komunikacji ze strony detalisty, co wskazuje na wyzwania związane z transparentną komunikacją podczas trwającego incydentu bezpieczeństwa.

‍

Analiza ekspertów branżowych

Ocena skali zagrożenia

Ciaran Martin, były dyrektor generalny National Cyber Security Centre, określił incydent jako "poważny epizod ransomware" o znaczących konsekwencjach dla M&S. Jego ocena, że jest to "bardzo zakłócające wydarzenie i bardzo trudne do opanowania", podkreśla złożoność współczesnych ataków ransomware na duże organizacje.

Porównanie do "cyfrowej bomby"

Dan Card, ekspert ds. cyberbezpieczeństwa z BCS, porównał skutki ataku do wybuchu "cyfrowej bomby", podkreślając, że odzyskiwanie sprawności po takich incydentach jest zarówno technicznie, jak i logistycznie wyzwaniem. Organizacja będąca ofiarą prawdopodobnie będzie pracować całodobowo nad odpowiedzią i odzyskaniem sprawności systemów.

‍

Przewidywany harmonogram odzyskiwania

Długoterminowe zakłócenia operacyjne

M&S oficjalnie poinformował, że oczekuje kontynuacji zakłóceń w działalności online przez cały czerwiec i do lipca 2025 roku. Firma planuje stopniowe ponowne uruchamianie, a następnie zwiększanie skali operacji online w tym okresie. To stosunkowo długi okres odzyskiwania sprawności wskazuje na głębokość penetracji systemów przez sprawców i złożoność procesu przywracania bezpiecznej funkcjonalności.

Strategia wzmocnienia pozycji rynkowej

Pomimo poważnych wyzwań, M&S wyraża optymizm co do przyszłości, stwierdzając, że firma koncentruje się na odzyskaniu sprawności i przywracaniu systemów, operacji oraz propozycji dla klientów, "z celem wyjścia z tego okresu jako znacznie silniejszy biznes". Ta deklaracja wskazuje na wykorzystanie kryzysu jako okazji do modernizacji i wzmocnienia infrastruktury IT.

‍

Szerszy kontekst branżowy

Trend ataków na sektor detaliczny

Incydent w M&S wpisuje się w szerszy trend ataków na brytyjski sektor detaliczny, gdzie również Co-op i inne sieci handlowe stały się celami hakerów. Ten wzorzec wskazuje na systematyczne celowanie cyberprzestępców w branżę detaliczną ze względu na duże wolumeny danych klientów i znaczne przychody online.

Wpływ na zaufanie konsumentów

Susannah Streeter z Hargreaves Lansdown ostrzegła, że wstrzymanie zamówień online będzie "ogromnie szkodliwe dla sprzedaży", szczególnie w sektorze mody podczas kluczowego sezonu letniego. Ekspertka podkreśliła również, że głębokość problemów M&S z rozwiązaniem kwestii jest niepokojąca i może zająć dużo czasu, zanim firma odzyska zaufanie bardziej ostrożnych klientów.

‍

Wnioski i implikacje dla branży

Lekcje z zarządzania kryzysem

Przypadek M&S demonstruje krytyczne znaczenie proaktywnych strategii cyberbezpieczeństwa i gotowości na incydenty. Długotrwały charakter zakłóceń - od lutego do przewidywanego lipca - wskazuje na potrzebę lepszego wykrywania zagrożeń i szybszej reakcji na wczesnych etapach infiltracji. Firma była zmuszona polegać na kosztownych procesach manualnych i zewnętrznych ekspertach, co mogło zostać zminimalizowane przez lepsze przygotowanie.

Potrzeba holistycznego podejścia do bezpieczeństwa

Incydent podkreśla znaczenie holistycznego podejścia do zarządzania ryzykiem cybernetycznym, które obejmuje nie tylko zabezpieczenia techniczne, ale również szkolenia pracowników w zakresie rozpoznawania ataków inżynierii społecznej. Młody wiek członków Scattered Spider pokazuje, że zagrożenia mogą pochodzić z nieoczekiwanych źródeł i wymagają wszechstronnych strategii obronnych.

Wpływ na przyszłość e-commerce

Długoterminowe wstrzymanie sprzedaży online przez tak dużego gracza jak M&S może mieć trwały wpływ na zaufanie konsumentów do platform e-commerce. Firmy będą musiały inwestować nie tylko w bezpieczeństwo, ale również w transparentną komunikację i szybkie procedury odzyskiwania sprawności, aby utrzymać zaufanie klientów w coraz bardziej zagrożonym cyfrowym krajobrazie.

‍

Atak dotyczy dużej marki odzieżowej. Jednak to nie jest tak, że inne branże na pewno unikną takiego scenariusza. No bo co, jeśli podobny atak dotknie Twoją organizację?

‍