Британский розничный гигант Marks & Spencer (M&S) сообщил, что в ходе вымогательской атаки, произошедшей в конце апреля 2025 года, хакеры похитили у него информацию о покупателях.
Взлом произошел 22 апреля 2025 года и оказал значительное влияние на работу 1400 магазинов компании, также вынудив M&S полностью прекратить прием онлайн-заказов.
Как сообщало издание Bleeping Computer, за этой атакой стоят операторы DragonForce, использовавшие для взлома Marks & Spencer тактики социальной инженерии, схожие с группировкой Scattered Spider (она же Octo Tempest). В итоге злоумышленники успешно зашифровали виртуальные машины VMware ESXi, размещенные на серверах компании.
DragonForce называет себя «вымогательским картелем» (ransomware cartel) и активна с декабря 2023 года. Недавно эта группа начала продвигать новый сервис, позволяющий другим хакерам использовать ее сервисы под собственными «брендами» (white-label).
Как теперь сообщает генеральный директор M&S Стюарт Мачин (Stuart Machin), предварительное расследование инцидента показало, что хакеры сумели похитить конфиденциальные данные клиентов компании.
«Продолжая устранять последствия киберинцидента, сегодня мы направили клиентам письмо, в котором сообщили, что, к сожалению, некоторые личные данные были похищены, — пишет Мачин. — Важно отметить, что нет никаких доказательств того, что эта информация была разглашена. [Утечка] не затронула данные платежных карт и пароли от учетных записей, поэтому клиентам нет необходимости предпринимать какие-либо действия».
Однако, несмотря на эти заявления, всем клиентам M&S, имеющим активные учетные записи, будет предложено обновить пароли при следующей попытке входа на сайт или в приложение.
На странице часто задаваемых вопросов на сайте M&S говорится, что хакеры получили доступ к следующим типам данных:
- полное имя;
- адрес электронной почты;
- домашний адрес;
- номер телефона;
- дата рождения;
- история онлайн-заказов;
- информация о домохозяйстве;
- номера Sparks Pay;
- «замаскированные» данные платежных карт.
Теперь в компании предостерегают пользователей и отмечают, что с ними могут попытаться связываться мошенники.
«Вам не нужно предпринимать никаких действий, но вы можете получать электронные письма, звонки или текстовые сообщения, якобы от M&S, но это не так, поэтому будьте осторожны. Мы никогда не будем связываться с вами и просить предоставить персональную информацию об аккаунте, например, имя пользователя, и никогда не попросим вас сообщить свой пароль», — заявили представители Marks & Spencer.
Scattered Spider
Группировка Scattered Spider известна и под другими именами: Starfraud, Octo Tempest, Muddled Libra, 0ktapus (Group-IB), UNC3944 (Mandiant) и Scatter Swine (Okta).
Считается, что группа активна с 2022 года, а ее финансово мотивированные атаки в основном направлены на организации, работающие в сфере управления отношениями с клиентами (CRM), аутсорсинга бизнес-процессов, телекоммуникаций и технологий.
Как правило, хакеры используют сложные схемы с применением социальной инженерии, которые часто связаны с подменой SIM-карт (SIM swap). В частности Scattered Spider известна своими атаками с использованием вымогательского ПО BlackCat (Alphv), Qilin и RansomHub, в том числе против MGM Resorts и сети казино Caesars Entertainment.
Еще осенью 2023 года специалисты Mandiant предупреждали, что Scattered Spider взломали как минимум 100 организаций, в основном расположенных в США и Канаде. Тогда ИБ-специалисты пришли к выводу, что основной состав Scattered Spider — это англоговорящие подростки в возрасте от 16 до 22 лет.
По данным известного ИБ-журналиста Брайана Кребса, участники Scattered Spider также связаны со сравнительно молодым криминальным феноменом Com (иногда The Comm или The Com, сокращение от Community).
Если исходно группировка занималась финансовым мошенничеством, затем ее участники перешли к сложным атакам с использованием социальной инженерии, направленным на кражу криптовалюты у частных лиц, а также стали атаковать крупные компании с целью вымогательства.
