Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Video artykuł

Atak na Marks & Spencer – kolejna lekcja, której nie możemy zmarnować

Autor/ka
Davidson Consulting
ikona facebook
ikona linkedin

Eksperci ds. zarządzania kryzysowego i ciągłości działania

Nie mamy wątpliwości, że wszyscy już słyszeliście o trwającym cyberataku na brytyjskiego giganta handlowego Marks & Spencer.

Brytyjski gigant detaliczny Marks & Spencer od ponad miesiąca zmaga się z konsekwencjami jednego z najbardziej kosztownych cyberataków w historii brytyjskiego sektora detalicznego. Incydent, który rozpoczął się w lutym 2025 roku, ale został wykryty dopiero w kwietniu, doprowadził do całkowitego wstrzymania sprzedaży online i strat finansowych sięgających 300 milionów funtów. Atak przeprowadzony przez grupę Scattered Spider stanowi przykład rosnącego zagrożenia ransomware dla dużych korporacji, pokazując jednocześnie, jak długotrwałe mogą być konsekwencje skutecznej infiltracji systemów IT.

1. Metodologia sprawców

Grupa hakerska Scattered Spider, znana również pod pseudonimami UNC3944, Octo Tempest czy Muddled Libra, zastosowała wyrafinowaną kombinację technik infiltracji. Sprawcy rozpoczęli atak już w lutym 2025 roku, infiltrując systemy M&S i pozostając niezauważeni przez kilka tygodni. Kluczowym elementem ataku było pozyskanie pliku NTDS.dit z domeny Windows - wrażliwej bazy danych zawierającej dane uwierzytelniające użytkowników całej sieci korporacyjnej.

Zastosowane narzędzia i techniki

Hakerzy wykorzystali zaawansowane metody inżynierii społecznej, w tym ataki phishingowe mające na celu wprowadzenie pracowników w błąd i skłonienie ich do ujawnienia poufnych informacji. Szczególnie perfidną techniką był "MFA fatigue" - bombardowanie użytkowników wielokrotnymi żądaniami uwierzytelnienia wieloskładnikowego w nadziei, że z frustracji lub zmęczenia zaakceptują jedno z nich. 24 kwietnia 2025 roku sprawcy wdrożyli oprogramowanie ransomware DragonForce na hosty VMware ESXi, skutecznie szyfrując maszyny wirtualne i paraliżując kluczowe systemy operacyjne firmy.

Charakterystyka grupy Scattered Spider

Scattered Spider to jedna z najbardziej niebezpiecznych i aktywnych grup hakerskich monitorowanych obecnie przez ekspertów cyberbezpieczeństwa. Od momentu pojawienia się w 2022 roku, organizacja ta została powiązana z ponad 100 ukierunkowanymi atakami na różne branże, w tym telekomunikację, finanse, handel detaliczny i gaming. Grupa wyróżnia się młodym wiekiem swoich członków - niektórzy mają zaledwie 16 lat - oraz aktywnością na forach hakerskich, kanałach Telegram i serwerach Discord.

Powiązania z szerszą siecią przestępczą

Członkowie Scattered Spider są również powiązani z "Com" - luźno powiązaną społecznością znaną z działalności cyberprzestępczej i przestępstw w świecie rzeczywistym, która przyciągnęła uwagę mediów. Ta sieć połączeń wskazuje na profesjonalizację młodego pokolenia cyberprzestępców i ich zdolność do przeprowadzania ataków na poziomie dotychczas zarezerwowanym dla państwowych grup hakerskich.

2. Wpływ operacyjny na działalność M&S

Cyberatak spowodował natychmiastowe wstrzymanie zamówień online w Wielkiej Brytanii i Irlandii jako środek ostrożności. W sklepach stacjonarnych pojawiły się "punktowe ograniczenia dostępności" produktów, a niektóre lokalizacje, jak Liverpool, zostały zmuszone do masowej redukcji asortymentu żywnościowego z powodu spadku ruchu klientów. Firma musiała zwolnić około 200 pracowników tymczasowych z głównego centrum dystrybucyjnego z powodu spowolnienia przetwarzania zamówień.

Przejście na procesy manualne

Konieczność zastąpienia zautomatyzowanych systemów procesami manualnymi spowodowała znaczne zwiększenie kosztów operacyjnych i logistycznych. Sprzedaż żywności ucierpiała z powodu ograniczonej dostępności, choć jak podkreśla firma, sytuacja już się poprawia. Sektor Fashion, Home & Beauty został szczególnie dotknięty przez decyzję o wstrzymaniu sprzedaży online, mimo że sklepy stacjonarne pozostały odporne na zakłócenia.

3. Wpływ operacyjny na działalność M&S

Bezpośrednie straty finansowe

Marks & Spencer szacuje łączne straty wynikające z cyberataku na około 300 milionów funtów. Kwota ta obejmuje utracone przychody ze sprzedaży online, dodatkowe koszty operacyjne związane z przejściem na procesy manualne oraz straty wynikające z marnowania produktów. Firma poniosła również znaczne koszty związane z zatrudnieniem zewnętrznych firm cyberbezpieczeństwa do zbadania i opanowania incydentu.

Reakcja rynku kapitałowego

Akcje M&S spadły o 2,2 procenta do 377,3 pensa na koniec kwietnia, co oznaczało utratę ponad 700 milionów funtów z wartości rynkowej spółki od momentu ujawnienia cyberataku. Ta reakcja rynku odzwierciedla nie tylko bezpośrednie straty finansowe, ale również obawy inwestorów co do długoterminowego wpływu incydentu na reputację i konkurencyjność firmy.

4. Naruszenie danych osobowych klientów

Zakres kompromitacji danych

Firma potwierdziła, że sprawcy uzyskali dostęp do "osobistych danych klientów", jednak M&S zapewnia, że nie obejmowały one użytecznych danych płatniczych, szczegółów kart kredytowych ani haseł. Pomimo tych zapewnień, jako dodatkowy środek ostrożności, firma poprosi wszystkich klientów o zmianę haseł przy następnym logowaniu do ich kont online.

Środki ostrożności dla klientów

Decyzja o wymuszonej zmianie haseł, mimo że według firmy nie zostały one skompromitowane, wskazuje na ostrożne podejście do zarządzania ryzykiem i chęć zapewnienia klientom "dodatkowego spokoju ducha". To działanie, choć może być postrzegane jako niedogodność, demonstruje proaktywne podejście do ochrony danych klientów.

5. Odpowiedź na incydent i zarządzanie kryzysem

Zaangażowanie ekspertów zewnętrznych

M&S szybko zaangażował renomowane firmy cyberbezpieczeństwa do wsparcia w odpowiedzi na incydent. CrowdStrike został zatrudniony do prowadzenia analizy forensycznej i opanowania zagrożenia, Microsoft zapewnił wsparcie dla infrastruktury chmurowej, a Fenix24 dostarczył specjalistyczne doradztwo w zakresie cyberbezpieczeństwa. To wieloaspektowe podejście pokazuje złożoność współczesnych incydentów ransomware i potrzebę angażowania różnorodnych ekspertyz.

Komunikacja z interesariuszami

CEO Stuart Machin wystosował oficjalny komunikat do klientów, w którym przeprosił za niedogodności i zapewnił o podjęciu niezbędnych kroków ochronnych. Jednak BBC poinformował o frustracji niektórych klientów z powodu "rozczarowującej" komunikacji ze strony detalisty, co wskazuje na wyzwania związane z transparentną komunikacją podczas trwającego incydentu bezpieczeństwa.

6. Analiza ekspertów branżowych

Ocena skali zagrożenia

Ciaran Martin, były dyrektor generalny National Cyber Security Centre, określił incydent jako "poważny epizod ransomware" o znaczących konsekwencjach dla M&S. Jego ocena, że jest to "bardzo zakłócające wydarzenie i bardzo trudne do opanowania", podkreśla złożoność współczesnych ataków ransomware na duże organizacje.

Porównanie do "cyfrowej bomby"

Dan Card, ekspert ds. cyberbezpieczeństwa z BCS, porównał skutki ataku do wybuchu "cyfrowej bomby", podkreślając, że odzyskiwanie sprawności po takich incydentach jest zarówno technicznie, jak i logistycznie wyzwaniem. Organizacja będąca ofiarą prawdopodobnie będzie pracować całodobowo nad odpowiedzią i odzyskaniem sprawności systemów.

7. Przewidywany harmonogram odzyskiwania

Długoterminowe zakłócenia operacyjne

M&S oficjalnie poinformował, że oczekuje kontynuacji zakłóceń w działalności online przez cały czerwiec i do lipca 2025 roku. Firma planuje stopniowe ponowne uruchamianie, a następnie zwiększanie skali operacji online w tym okresie. To stosunkowo długi okres odzyskiwania sprawności wskazuje na głębokość penetracji systemów przez sprawców i złożoność procesu przywracania bezpiecznej funkcjonalności.

Strategia wzmocnienia pozycji rynkowej

Pomimo poważnych wyzwań, M&S wyraża optymizm co do przyszłości, stwierdzając, że firma koncentruje się na odzyskaniu sprawności i przywracaniu systemów, operacji oraz propozycji dla klientów, "z celem wyjścia z tego okresu jako znacznie silniejszy biznes". Ta deklaracja wskazuje na wykorzystanie kryzysu jako okazji do modernizacji i wzmocnienia infrastruktury IT.

8. Szerszy kontekst branżowy

Trend ataków na sektor detaliczny

Incydent w M&S wpisuje się w szerszy trend ataków na brytyjski sektor detaliczny, gdzie również Co-op i inne sieci handlowe stały się celami hakerów. Ten wzorzec wskazuje na systematyczne celowanie cyberprzestępców w branżę detaliczną ze względu na duże wolumeny danych klientów i znaczne przychody online.

Wpływ na zaufanie konsumentów

Susannah Streeter z Hargreaves Lansdown ostrzegła, że wstrzymanie zamówień online będzie "ogromnie szkodliwe dla sprzedaży", szczególnie w sektorze mody podczas kluczowego sezonu letniego. Ekspertka podkreśliła również, że głębokość problemów M&S z rozwiązaniem kwestii jest niepokojąca i może zająć dużo czasu, zanim firma odzyska zaufanie bardziej ostrożnych klientów.

9. Wnioski i implikacje dla branży

Lekcje z zarządzania kryzysem

Przypadek M&S demonstruje krytyczne znaczenie proaktywnych strategii cyberbezpieczeństwa i gotowości na incydenty. Długotrwały charakter zakłóceń - od lutego do przewidywanego lipca - wskazuje na potrzebę lepszego wykrywania zagrożeń i szybszej reakcji na wczesnych etapach infiltracji. Firma była zmuszona polegać na kosztownych procesach manualnych i zewnętrznych ekspertach, co mogło zostać zminimalizowane przez lepsze przygotowanie.

Potrzeba holistycznego podejścia do bezpieczeństwa

Incydent podkreśla znaczenie holistycznego podejścia do zarządzania ryzykiem cybernetycznym, które obejmuje nie tylko zabezpieczenia techniczne, ale również szkolenia pracowników w zakresie rozpoznawania ataków inżynierii społecznej. Młody wiek członków Scattered Spider pokazuje, że zagrożenia mogą pochodzić z nieoczekiwanych źródeł i wymagają wszechstronnych strategii obronnych.

Wpływ na przyszłość e-commerce

Długoterminowe wstrzymanie sprzedaży online przez tak dużego gracza jak M&S może mieć trwały wpływ na zaufanie konsumentów do platform e-commerce. Firmy będą musiały inwestować nie tylko w bezpieczeństwo, ale również w transparentną komunikację i szybkie procedury odzyskiwania sprawności, aby utrzymać zaufanie klientów w coraz bardziej zagrożonym cyfrowym krajobrazie.

Atak dotyczy dużej marki odzieżowej. Jednak to nie jest tak, że inne branże na pewno unikną takiego scenariusza. No bo co, jeśli podobny atak dotknie Twoją organizację?

Zapisz się już teraz! 

Subskrybując newsletter Davidson Consulting, otrzymujesz merytoryczne analizy z zakresu zarządzania ryzykiem, ciągłości działania, cyberbezpieczeństwa i compliance (m.in. DORA, NIS2), a także informacje o naszych usługach i produktach, które pomogą Ci skutecznie wdrożyć prezentowane strategie.  

Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.
* - Pole obowiązkowe
Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.
Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

Najnowsze artykuły:

Niewidzialne zagrożenia
Atak Shai Hulud 2.0.
Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania
Katastrofa śmigłowca właścicieli SUP-FOL
Duńska "Nocna Straż"

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Sprawa Lu dostarcza materiału analitycznego, nad którym powinna pochylić się każda organizacja.
Czytaj dalej
Case Study

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Cyberbezpieczeństwo
Incydenty
insider threat, zagrożenia wewnętrzne, cyberbezpieczeństwo, sabotaż w firmie, zarządzanie ryzykiem IT, ciągłość działania, bezpieczeństwo informacji, ochrona infrastruktury, Davis Lu, Eaton Corporation, złośliwy kod, zarządzanie uprawnieniami, audyt bezpieczeństwa, Business Continuity Plan, ryzyko osobowe, incydenty bezpieczeństwa, ochrona danych, zwolnienie pracownika IT, separacja obowiązków
Podmioty ważne i kluczowe

Atak Shai Hulud 2.0.

Ujawnienie krytycznych sekretów środowiska wykonawczego!
Czytaj dalej
Case Study

Atak Shai Hulud 2.0.

Cyberbezpieczeństwo
Ciągłość działania
Bezpieczeństwo łańcucha dostaw
Incydenty
Shai Hulud 2.0, atak supply chain npm, bezpieczeństwo CI/CD, złośliwe pakiety npm, non-human identities, zarządzanie sekretami, kradzież kluczy API, ochrona środowiska wykonawczego, rotacja poświadczeń, wyciek danych GitHub, dostęp Just-in-Time, malware w potokach CI/CD, audyt bezpieczeństwa ICT, environment.json, cyberbezpieczeństwo 2025
IT i technologia

Katastrofa śmigłowca właścicieli SUP-FOL

Lekcje o sukcesji, prokurencie i ciągłości działania spółki z o.o.
Czytaj dalej
Case Study

Katastrofa śmigłowca właścicieli SUP-FOL

Ciągłość działania
Zarządzanie kryzysowe
Incydenty
katastrofa śmigłowca, wypadek lotniczy, wypadek śmigłowca pod Rzeszowem, tragedia w firmie rodzinnej, śmierć przedsiębiorców, SUP-FOL, SupFol, katastrofa śmigłowca SUP-FOL, spółka z o.o., firmy rodzinne Polska, sukcesja w firmie, sukcesja przedsiębiorstwa, sukcesja w spółce z o.o., śmierć wspólnika, śmierć członka zarządu, co po śmierci wspólnika, co po śmierci członka zarządu, paraliż decyzyjny spółki, brak zarządu w spółce, kto reprezentuje spółkę, kurator dla spółki, kurator sądowy spółki, jak powołać kuratora spółki, ile kosztuje kurator dla spółki, KRS reprezentacja, blokada konta spółki, co dzieje się ze spółką z o.o. po śmierci zarządu, co robić gdy spółka nie ma zarządu, zarządzanie ryzykiem w firmie, plan ciągłości działania, business continuity, ciągłość działania w MŚP, plan ciągłości działania w firmie, ryzyka operacyjne firm rodzinnych, ubezpieczenie key person, prokura, prokurent, prokura samoistna, prokura łączna, jak działa prokura, czy prokura wygasa po śmierci zarządu, zabezpieczenie firmy po śmierci właściciela, jak zabezpieczyć firmę po nagłej śmierci właściciela, jak przygotować sukcesję w firmie, sukcesja kapitałowa i korporacyjna, umowa spółki sukcesja, postępowanie spadkowe wspólnika, blokada rachunku firmowego, reprezentacja spółki po śmierci zarządu
Przemysł
Firmy w Polsce

Duńska "Nocna Straż"

Jak globalna polityka i nieprzewidywalność zmuszają dyplomację do innowacji i adaptacji.
Czytaj dalej
Artykuł

Duńska "Nocna Straż"

Geopolityka a biznes
Zarządzanie kryzysowe
grenlandia, usa, komunikacja kryzysowa, zarządzanie ryzykiem, dania, Dyplomacja, StosunkiMiędzynarodowe, politykaZagraniczna, Adaptacja, ZarządzanieKryzysowe
Administracja publiczna
Przejdź do wszystkich wpisów