Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Artykuł

Atak na Marks & Spencer – kolejna lekcja, której nie możemy zmarnować

Autor/ka
Davidson Consulting
facebook-icon
linkedin-icon

Eksperci ds. zarządzania kryzysowego i ciągłości działania

Nie mamy wątpliwości, że wszyscy już słyszeliście o trwającym cyberataku na brytyjskiego giganta handlowego Marks & Spencer.
Rosyjska balistyczna rakieta hiperdźwiękowa "Oriesznik" na wozie transportowym.

Brytyjski gigant detaliczny Marks & Spencer od ponad miesiąca zmaga się z konsekwencjami jednego z najbardziej kosztownych cyberataków w historii brytyjskiego sektora detalicznego. Incydent, który rozpoczął się w lutym 2025 roku, ale został wykryty dopiero w kwietniu, doprowadził do całkowitego wstrzymania sprzedaży online i strat finansowych sięgających 300 milionów funtów. Atak przeprowadzony przez grupę Scattered Spider stanowi przykład rosnącego zagrożenia ransomware dla dużych korporacji, pokazując jednocześnie, jak długotrwałe mogą być konsekwencje skutecznej infiltracji systemów IT.

1. Metodologia sprawców

Grupa hakerska Scattered Spider, znana również pod pseudonimami UNC3944, Octo Tempest czy Muddled Libra, zastosowała wyrafinowaną kombinację technik infiltracji. Sprawcy rozpoczęli atak już w lutym 2025 roku, infiltrując systemy M&S i pozostając niezauważeni przez kilka tygodni. Kluczowym elementem ataku było pozyskanie pliku NTDS.dit z domeny Windows - wrażliwej bazy danych zawierającej dane uwierzytelniające użytkowników całej sieci korporacyjnej.

Zastosowane narzędzia i techniki

Hakerzy wykorzystali zaawansowane metody inżynierii społecznej, w tym ataki phishingowe mające na celu wprowadzenie pracowników w błąd i skłonienie ich do ujawnienia poufnych informacji. Szczególnie perfidną techniką był "MFA fatigue" - bombardowanie użytkowników wielokrotnymi żądaniami uwierzytelnienia wieloskładnikowego w nadziei, że z frustracji lub zmęczenia zaakceptują jedno z nich. 24 kwietnia 2025 roku sprawcy wdrożyli oprogramowanie ransomware DragonForce na hosty VMware ESXi, skutecznie szyfrując maszyny wirtualne i paraliżując kluczowe systemy operacyjne firmy.

Charakterystyka grupy Scattered Spider

Scattered Spider to jedna z najbardziej niebezpiecznych i aktywnych grup hakerskich monitorowanych obecnie przez ekspertów cyberbezpieczeństwa. Od momentu pojawienia się w 2022 roku, organizacja ta została powiązana z ponad 100 ukierunkowanymi atakami na różne branże, w tym telekomunikację, finanse, handel detaliczny i gaming. Grupa wyróżnia się młodym wiekiem swoich członków - niektórzy mają zaledwie 16 lat - oraz aktywnością na forach hakerskich, kanałach Telegram i serwerach Discord.

Powiązania z szerszą siecią przestępczą

Członkowie Scattered Spider są również powiązani z "Com" - luźno powiązaną społecznością znaną z działalności cyberprzestępczej i przestępstw w świecie rzeczywistym, która przyciągnęła uwagę mediów. Ta sieć połączeń wskazuje na profesjonalizację młodego pokolenia cyberprzestępców i ich zdolność do przeprowadzania ataków na poziomie dotychczas zarezerwowanym dla państwowych grup hakerskich.

2. Wpływ operacyjny na działalność M&S

Cyberatak spowodował natychmiastowe wstrzymanie zamówień online w Wielkiej Brytanii i Irlandii jako środek ostrożności. W sklepach stacjonarnych pojawiły się "punktowe ograniczenia dostępności" produktów, a niektóre lokalizacje, jak Liverpool, zostały zmuszone do masowej redukcji asortymentu żywnościowego z powodu spadku ruchu klientów. Firma musiała zwolnić około 200 pracowników tymczasowych z głównego centrum dystrybucyjnego z powodu spowolnienia przetwarzania zamówień.

Przejście na procesy manualne

Konieczność zastąpienia zautomatyzowanych systemów procesami manualnymi spowodowała znaczne zwiększenie kosztów operacyjnych i logistycznych. Sprzedaż żywności ucierpiała z powodu ograniczonej dostępności, choć jak podkreśla firma, sytuacja już się poprawia. Sektor Fashion, Home & Beauty został szczególnie dotknięty przez decyzję o wstrzymaniu sprzedaży online, mimo że sklepy stacjonarne pozostały odporne na zakłócenia.

3. Wpływ operacyjny na działalność M&S

Bezpośrednie straty finansowe

Marks & Spencer szacuje łączne straty wynikające z cyberataku na około 300 milionów funtów. Kwota ta obejmuje utracone przychody ze sprzedaży online, dodatkowe koszty operacyjne związane z przejściem na procesy manualne oraz straty wynikające z marnowania produktów. Firma poniosła również znaczne koszty związane z zatrudnieniem zewnętrznych firm cyberbezpieczeństwa do zbadania i opanowania incydentu.

Reakcja rynku kapitałowego

Akcje M&S spadły o 2,2 procenta do 377,3 pensa na koniec kwietnia, co oznaczało utratę ponad 700 milionów funtów z wartości rynkowej spółki od momentu ujawnienia cyberataku. Ta reakcja rynku odzwierciedla nie tylko bezpośrednie straty finansowe, ale również obawy inwestorów co do długoterminowego wpływu incydentu na reputację i konkurencyjność firmy.

4. Naruszenie danych osobowych klientów

Zakres kompromitacji danych

Firma potwierdziła, że sprawcy uzyskali dostęp do "osobistych danych klientów", jednak M&S zapewnia, że nie obejmowały one użytecznych danych płatniczych, szczegółów kart kredytowych ani haseł. Pomimo tych zapewnień, jako dodatkowy środek ostrożności, firma poprosi wszystkich klientów o zmianę haseł przy następnym logowaniu do ich kont online.

Środki ostrożności dla klientów

Decyzja o wymuszonej zmianie haseł, mimo że według firmy nie zostały one skompromitowane, wskazuje na ostrożne podejście do zarządzania ryzykiem i chęć zapewnienia klientom "dodatkowego spokoju ducha". To działanie, choć może być postrzegane jako niedogodność, demonstruje proaktywne podejście do ochrony danych klientów.

5. Odpowiedź na incydent i zarządzanie kryzysem

Zaangażowanie ekspertów zewnętrznych

M&S szybko zaangażował renomowane firmy cyberbezpieczeństwa do wsparcia w odpowiedzi na incydent. CrowdStrike został zatrudniony do prowadzenia analizy forensycznej i opanowania zagrożenia, Microsoft zapewnił wsparcie dla infrastruktury chmurowej, a Fenix24 dostarczył specjalistyczne doradztwo w zakresie cyberbezpieczeństwa. To wieloaspektowe podejście pokazuje złożoność współczesnych incydentów ransomware i potrzebę angażowania różnorodnych ekspertyz.

Komunikacja z interesariuszami

CEO Stuart Machin wystosował oficjalny komunikat do klientów, w którym przeprosił za niedogodności i zapewnił o podjęciu niezbędnych kroków ochronnych. Jednak BBC poinformował o frustracji niektórych klientów z powodu "rozczarowującej" komunikacji ze strony detalisty, co wskazuje na wyzwania związane z transparentną komunikacją podczas trwającego incydentu bezpieczeństwa.

6. Analiza ekspertów branżowych

Ocena skali zagrożenia

Ciaran Martin, były dyrektor generalny National Cyber Security Centre, określił incydent jako "poważny epizod ransomware" o znaczących konsekwencjach dla M&S. Jego ocena, że jest to "bardzo zakłócające wydarzenie i bardzo trudne do opanowania", podkreśla złożoność współczesnych ataków ransomware na duże organizacje.

Porównanie do "cyfrowej bomby"

Dan Card, ekspert ds. cyberbezpieczeństwa z BCS, porównał skutki ataku do wybuchu "cyfrowej bomby", podkreślając, że odzyskiwanie sprawności po takich incydentach jest zarówno technicznie, jak i logistycznie wyzwaniem. Organizacja będąca ofiarą prawdopodobnie będzie pracować całodobowo nad odpowiedzią i odzyskaniem sprawności systemów.

7. Przewidywany harmonogram odzyskiwania

Długoterminowe zakłócenia operacyjne

M&S oficjalnie poinformował, że oczekuje kontynuacji zakłóceń w działalności online przez cały czerwiec i do lipca 2025 roku. Firma planuje stopniowe ponowne uruchamianie, a następnie zwiększanie skali operacji online w tym okresie. To stosunkowo długi okres odzyskiwania sprawności wskazuje na głębokość penetracji systemów przez sprawców i złożoność procesu przywracania bezpiecznej funkcjonalności.

Strategia wzmocnienia pozycji rynkowej

Pomimo poważnych wyzwań, M&S wyraża optymizm co do przyszłości, stwierdzając, że firma koncentruje się na odzyskaniu sprawności i przywracaniu systemów, operacji oraz propozycji dla klientów, "z celem wyjścia z tego okresu jako znacznie silniejszy biznes". Ta deklaracja wskazuje na wykorzystanie kryzysu jako okazji do modernizacji i wzmocnienia infrastruktury IT.

8. Szerszy kontekst branżowy

Trend ataków na sektor detaliczny

Incydent w M&S wpisuje się w szerszy trend ataków na brytyjski sektor detaliczny, gdzie również Co-op i inne sieci handlowe stały się celami hakerów. Ten wzorzec wskazuje na systematyczne celowanie cyberprzestępców w branżę detaliczną ze względu na duże wolumeny danych klientów i znaczne przychody online.

Wpływ na zaufanie konsumentów

Susannah Streeter z Hargreaves Lansdown ostrzegła, że wstrzymanie zamówień online będzie "ogromnie szkodliwe dla sprzedaży", szczególnie w sektorze mody podczas kluczowego sezonu letniego. Ekspertka podkreśliła również, że głębokość problemów M&S z rozwiązaniem kwestii jest niepokojąca i może zająć dużo czasu, zanim firma odzyska zaufanie bardziej ostrożnych klientów.

9. Wnioski i implikacje dla branży

Lekcje z zarządzania kryzysem

Przypadek M&S demonstruje krytyczne znaczenie proaktywnych strategii cyberbezpieczeństwa i gotowości na incydenty. Długotrwały charakter zakłóceń - od lutego do przewidywanego lipca - wskazuje na potrzebę lepszego wykrywania zagrożeń i szybszej reakcji na wczesnych etapach infiltracji. Firma była zmuszona polegać na kosztownych procesach manualnych i zewnętrznych ekspertach, co mogło zostać zminimalizowane przez lepsze przygotowanie.

Potrzeba holistycznego podejścia do bezpieczeństwa

Incydent podkreśla znaczenie holistycznego podejścia do zarządzania ryzykiem cybernetycznym, które obejmuje nie tylko zabezpieczenia techniczne, ale również szkolenia pracowników w zakresie rozpoznawania ataków inżynierii społecznej. Młody wiek członków Scattered Spider pokazuje, że zagrożenia mogą pochodzić z nieoczekiwanych źródeł i wymagają wszechstronnych strategii obronnych.

Wpływ na przyszłość e-commerce

Długoterminowe wstrzymanie sprzedaży online przez tak dużego gracza jak M&S może mieć trwały wpływ na zaufanie konsumentów do platform e-commerce. Firmy będą musiały inwestować nie tylko w bezpieczeństwo, ale również w transparentną komunikację i szybkie procedury odzyskiwania sprawności, aby utrzymać zaufanie klientów w coraz bardziej zagrożonym cyfrowym krajobrazie.

Atak dotyczy dużej marki odzieżowej. Jednak to nie jest tak, że inne branże na pewno unikną takiego scenariusza. No bo co, jeśli podobny atak dotknie Twoją organizację?

Najnowsze artykuły:

LIPIEC 2024: Cyberataki nie znają granic. Dlaczego odporność organizacyjna musi zaczynać się od cyberbezpieczeństwa
Komunikacja kryzysowa - komunikacja EuroCert po ataku
Identyfikacja i uzasadnienie funkcji krytycznych lub istotnych dla banku komercyjnego w świetle rozporządzenia DORA
Hasło „123456" i 64 miliony kandydatów - lekcja dla polskich firm
Europa w połowie drogi: jak NIS2 zmienia oblicze cyberbezpieczeństwa w biznesie

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Testy
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Zarządzanie ryzykiem
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

LIPIEC 2024: Cyberataki nie znają granic. Dlaczego odporność organizacyjna musi zaczynać się od cyberbezpieczeństwa

W ciągu jednego miesiąca celem cyberataków padły tak różnorodne organizacje jak: Disney, Virgin Media, AT&T, Formula1, Evolve Bank, BMW Hong Kong, HealthEquity, a także szpitale, uczelnie, rządy i instytucje finansowe na całym świecie.
Czytaj dalej
Artykuł

LIPIEC 2024: Cyberataki nie znają granic. Dlaczego odporność organizacyjna musi zaczynać się od cyberbezpieczeństwa

Cyberbezpieczeństwo
Ciągłość działania
cyberbezpieczeństwo 2025, cyberprzestępczość na świecie, koszty cyberataków, incydenty bezpieczeństwa, ataki bezplikowe, malware-free, phishing z użyciem AI, spear phishing, deepfake w cyberatakach, bezpieczeństwo IT, czynnik ludzki w cyberbezpieczeństwie, błędy użytkowników, inżynieria społeczna, cyberataki w sektorze zdrowia, ataki na sektor produkcyjny, atak zero-day Microsoft SharePoint, brak planu reagowania na incydenty, testy odpornościowe IT, szkolenia z cyberhigieny, nieaktualne systemy IT, cyberbezpieczeństwo pracowników, EDR, XDR, analiza zagrożeń w czasie rzeczywistym, zarządzanie ciągłością działania, Business Continuity Management, strategia bezpieczeństwa organizacji, bezpieczeństwo IT OT AI, zgodność z DORA, zgodność z NIS2, AI Act a bezpieczeństwo, ubezpieczenia cyber, odporność organizacyjna, edukacja cyber, zarządzanie ryzykiem IT, kultura bezpieczeństwa w firmie, cyberbezpieczeństwo dla zarządów, cyberochrona w łańcuchu dostaw, audyty cyberbezpieczeństwa, cyberzagrożenia 2025
Ochrona zdrowia
Podmioty ważne i kluczowe
Administracja publiczna
Bankowość i rynki finansowe
E-commerce

Komunikacja kryzysowa - komunikacja EuroCert po ataku

W dzisiejszym cyfrowym świecie cyberatak to nie tylko problem techniczny. To przede wszystkim test zaufania, a jego wynik zależy od jednego kluczowego czynnika: komunikacji.
Czytaj dalej
Case Study

Komunikacja kryzysowa - komunikacja EuroCert po ataku

Komunikacja kryzysowa
Incydenty
Ciągłość działania
Komunikacja kryzysowa ransomware, plan komunikacji kryzysowej cyberbezpieczeństwo, DORA komunikacja kryzysowa, case study atak ransomware, zarządzanie kryzysem po cyberataku, atak na EuroCert komunikacja, Center for Internet Security (CIS) komunikacja, transparentność vs bezpieczeństwo w kryzysie, błędy w komunikacji kryzysowej, zgłaszanie incydentów DORA, zarządzanie reputacją po ataku hakerskim, wojna hybrydowa cyberataki, jak komunikować atak ransomware klientom i partnerom, co robić po ataku ransomware – komunikacja i PR, wymogi DORA dotyczące komunikacji z klientami, jak przygotować scenariusze komunikacji kryzysowej, modelowa komunikacja kryzysowa w cyberbezpieczeństwie, jak odzyskać zaufanie po wycieku danych, Renata Davidson, Rozporządzenie DORA, EuroCert, CIS, CERT Polska, dane biometryczne, deepfake, zgłoszenia przyrostowe, publiczny dziennik incydentu, Lessons Learned, zespół kryzysowy, wielokanałowa komunikacja.
Technologia
Usługi ICT

Identyfikacja i uzasadnienie funkcji krytycznych lub istotnych dla banku komercyjnego w świetle rozporządzenia DORA

Przed wprowadzeniem DORA, instytucje finansowe zarządzały ryzykiem operacyjnym głównie poprzez alokację kapitału na pokrycie potencjalnych strat. Jak to robić teraz?
Czytaj dalej
Poradnik

Identyfikacja i uzasadnienie funkcji krytycznych lub istotnych dla banku komercyjnego w świetle rozporządzenia DORA

Ciągłość działania
Funkcje krytyczne DORA, identyfikacja funkcji krytycznych lub istotnych, DORA funkcje krytyczne w banku, Rozporządzenie DORA, definicja funkcji krytycznej DORA, DORA Art 3 pkt 22, DORA a BRRD, Motyw 70 DORA, cyfrowa odporność operacyjna, zgodność z DORA, funkcje krytyczne BFG a DORA, Prawo Bankowe Art 5 a DORA, zarządzanie ryzykiem ICT, jak zidentyfikować funkcje krytyczne w DORA, co to są funkcje krytyczne lub istotne według DORA, przykładowa lista funkcji krytycznych dla banku DORA, metodyka identyfikacji funkcji krytycznych DORA, różnice między DORA a BRRD w definicji funkcji krytycznych, wpływ zakłócenia funkcji krytycznej na system finansowy, ICT, bank komercyjny, stabilność systemu finansowego, BFG, Bankowy Fundusz Gwarancyjny, KNF, Rekomendacje H i M, Dyrektywa BRRD, MiFID II, czynności bankowe, zarządzanie incydentami, testowanie odporności operacyjnej.
Bankowość i rynki finansowe
Podmioty ważne i kluczowe

Hasło „123456" i 64 miliony kandydatów - lekcja dla polskich firm

Eksperci bezpieczeństwa potrzebowali tylko hasła „123456", żeby uzyskać dostęp do danych osobowych 64 milionów kandydatów do pracy w systemie rekrutacyjnym McDonald's.
Czytaj dalej
Komentarz

Hasło „123456" i 64 miliony kandydatów - lekcja dla polskich firm

Komunikacja kryzysowa
Cyberbezpieczeństwo
Usługi ICT
Przejdź do wszystkich wpisów