Четирима с белезници — Предсказаните хакери зад милиардната атака

На сутринта на 10 юли тишината в Лондон и Стафордшър бе нарушена от координирани полицейски акции. Арестувани бяха четирима заподозрени на възраст между 17 и 20 години, обвинени в извършването на опустошителна кибератака срещу Marks & Spencer — емблематичната британска търговска верига, която шест седмици по-рано бе дигитално парализирана.

Задържаните не бяха международни престъпници. Те бяха младежи — ученици, студенти, фрийлансъри — предполагаеми членове на хакерската група Scattered Spider (UNC3944), известна с атаките си срещу глобални корпорации като MGM Resorts. Този път целта не бе Лас Вегас, а Лондон. И жертвата бе британска институция.

Последствията? Катастрофални. 46 дни онлайн търговията бе блокирана. Веригите за доставки се сринаха. Клиентски данни бяха компрометирани. Общата щета се оценява на над един милиард паунда.

Но най-обезпокоителното? Cy-Napea® го предвиди.

Още на 26 май, само ден след атаката, Cy-Napea® публикува статията „The Day Marks & Spencer Fell: A Cyber Catastrophe That Shook Retail“, в която се посочва Scattered Spider като вероятен извършител, идентифицира се използваният рансъмуер DragonForce и се анализират слабостите в мрежата от доставчици — много преди официалните органи да реагират.

Тогава анализът бе възприет като спекулация. Днес звучи като сценарий на атаката.

Арестите потвърждават това, което Cy-Napea® вече знаеше: киберпрестъпността е млада, децентрализирана и изключително ефективна. Ерата на хакера в тъмната стая е отминала — заменена от тийнейджъри, които от спалнята или кафенето могат да сринат цели компании.

Marks & Spencer не бе просто жертва. Тя бе тестова площадка за ново поколение дигитални заплахи — и ние я документирахме, преди димът да се разсее.

Хронология на срив — Как хакерите разгърнаха дигиталната обсада

Атаката срещу Marks & Spencer не беше еднократен взрив. Това беше внимателно планирана операция, разгърната в няколко етапа, с цел да се заобиколят защитите и да се нанесат максимални щети. Ето реконструираната хронология и използваните тактики, които доведоха до дигиталния срив на британския търговски гигант.

21–24 май: Подготовка и проникване

Разследващите смятат, че атаката е започнала дни преди активирането на рансъмуера.

• Първоначалният достъп е осъществен чрез доставчик в сферата на логистиката и складовото управление.

• Хакерите използват spear-phishing, представяйки се за служители на M&S, за да получат идентификационни данни.

• С тези данни се придвижват незабелязано из вътрешните системи.

25 май: Активиране на атаката

Около 03:43 ч. BST рансъмуерът е активиран в основната инфраструктура на Marks & Spencer.

• Използваният зловреден софтуер: DragonForce, модулен тип от модела RaaS (Ransomware-as-a-Service).

• За минути системите са криптирани — засегнати са онлайн търговията, проследяването на поръчки и клиентските бази данни.

• Първоначално ИТ екипът смята, че става дума за вътрешна грешка, но бързо осъзнава мащаба на атаката.

• Click & Collect е замразен, сървърите отказват достъп.

• До обяд цялата дигитална платформа е изключена.

26 май: Cy-Napea® алармира

Докато обществеността все още не подозира, Cy-Napea® публикува анализ:
„The Day Marks & Spencer Fell: A Cyber Catastrophe That Shook Retail“
В него се посочват Scattered Spider (UNC3944) като вероятни извършители, описва се използването на DragonForce и се анализират слабостите в мрежата от доставчици.

Това е първото публично предупреждение за дигиталната буря, която се разгръща зад кулисите.

27 май – 15 юни: Последствия и разследване

Marks & Spencer преминава в режим на кризисно управление.

• Комуникацията с клиентите е ограничена, приоритет е вътрешното овладяване на щетите.

• Форензик анализите откриват точката на проникване чрез достъп на доставчик.

• Компрометирани са имена, дати на раждане и имейл адреси — платежни данни не са засегнати.

• Оперативната загуба е оценена на 300 милиона паунда.

16 юни – 9 юли: Тишина и международно сътрудничество

В задкулисието работят NCA, Интерпол и ФБР, проследявайки дигиталните следи на извършителите.

• Транзакции с криптовалута помагат за локализиране на заподозрените.

• Поведенчески модели от предишни атаки на Scattered Spider се сравняват с случая на M&S.

• Двама заподозрени са идентифицирани чрез хвалби в даркнет форуми.

10 юли: Арести при изгрев

Полицията провежда акции в Лондон, Стафордшър и Уест Мидландс.

• Четирима заподозрени са арестувани: 17-годишен, двама на 19 години (включително латвийски гражданин) и 20-годишна жена.

• Иззетите устройства съдържат комуникации с посредници на рансъмуер, обучителни материали и финансови записи.

Атаката срещу Marks & Spencer не беше случайна. Това беше прецизно изпълнена операция — стъпка по стъпка, с психологическа изтънченост и техническа дисциплина.

Анатомия на атаката — Методите зад дигиталния срив

Сривът на Marks & Spencer не бе резултат от случайна грешка. Това бе целенасочена кибератака, изпълнена с психологическа прецизност, техническа дисциплина и злоупотреба с доверие. В тази част анализираме конкретните методи, чрез които нападателите парализираха компанията — тактики, които все по-често надхвърлят възможностите на традиционните системи за сигурност.

Социално инженерство: човешката слабост

Проникването започна не с код, а с доверие.

• Нападателите се представиха за служители и доставчици на M&S чрез фалшиви имейли, подправени LinkedIn профили и дори симулирани видео разговори.

• Така успяха да измамят трети страни и да получат достъп до вътрешни системи.

• С привилегировани идентификационни данни се придвижиха зад защитните стени — без да предизвикат аларма.

Достъп и странично движение в мрежата

След като проникнаха, хакерите започнаха да изследват инфраструктурата.

• С откраднати данни за достъп се придвижваха странично в мрежата, търсейки слабо защитени интерфейси.

• Използваха слабо наблюдавани крайни точки и временни файлови споделяния като входни точки.

• Целта им бе да изградят стабилна и незабелязана Command-and-Control (C2) структура.

Някои компрометирани акаунти останаха активни до 72 часа, преди да бъде задействан рансъмуерът.

Активация на DragonForce

На 25 май рансъмуерът бе активиран — с плашеща ефективност.

• Използваната версия: DragonForce, модулен тип от модела RaaS (Ransomware-as-a-Service).

• За по-малко от 15 минути бяха криптирани ключови системи.

• Софтуерът съдържаше скриптове за ексфилтрация на данни — имена, имейли, дати на раждане на клиенти.

• В същото време вътрешните инструменти за възстановяване бяха блокирани.

Срив на инфраструктурата

До обяд Marks & Spencer бе дигитално изолирана.

• Онлайн продажбите и Click & Collect бяха спрени.

• Системите за управление на складове и доставки се сринаха.

• Ръчните опити за възстановяване се провалиха — дори резервните системи бяха заразени.

Заличаване на следите

Хакерите прикриха действията си с професионализъм.

• Манипулирани логове и времеви печати затрудниха форензик анализа.

• Комуникацията се осъществяваше чрез Tor и криптирани Telegram чатове.

• Плащанията с криптовалута бяха прекарани през „миксери“, за да се избегне проследяване.

Тази степен на сложност подсказва обучение или менторство от опитни киберпрестъпници.

Marks & Spencer не бе унищожена за една нощ. Това бе интелигентна, поетапна атака — не чрез груба сила, а чрез подкопаване на системи, създадени за по-прости заплахи.

Възраждане — Как Marks & Spencer си върна контрола

След атаката Marks & Spencer се изправи пред дигитална пустош. Системите бяха парализирани, доверието на клиентите — разклатено, а финансовите загуби — колосални. Вместо да се оттегли, компанията избра пътя на прозрачността, технологичната трансформация и решителното възстановяване.

Вътрешно възстановяване и инвестиции

Marks & Spencer инвестира 150 милиона паунда в мащабна киберсигурност и работи с международни екипи по дигитална криминалистика.

Ключови действия:

• Създаване на 24/7 Център за сигурност (SOC)

• Преход към Zero Trust архитектура

• Обучения за служители относно фишинг и проверка на доставчици

• Публикуване на доклади за прозрачност и компенсации за засегнати клиенти

Според DigitalCloudUK, това е „най-мащабната модернизация на сигурността в историята на компанията“.

Възстановяване на дигиталното доверие

Освен техническото възстановяване, M&S се фокусира върху възвръщането на доверието.

Въведени мерки:

• Двуфакторна автентикация за всички клиентски акаунти

• Децентрализирани облачни резервни копия

• AI-базирана поведенческа аналитика за ранно откриване на социално инженерство

Infosecurity Magazine отбелязва, че M&S може да се превърне в модел за цялата британска търговия.

Лабораторен експеримент: Cy-Napea® срещу DragonForce

За да тества ефективността на защитата си, Cy-Napea® симулира атаката в контролирана лабораторна среда с реалната версия на DragonForce рансъмуер.

Резултати:

• Нашето EDR решение (Endpoint Detection & Response) откри и блокира заплахата за под 3 секунди

• Автоматично възстановяване без загуба на данни

• Никакво криптиране или изтичане на информация по време на теста

Това доказва, че проактивната защита може да неутрализира дори най-усъвършенстваните RaaS атаки. Пълната методология ще бъде публикувана в предстоящ технически доклад на Cy-Napea®.

Източници и прозрачност

Тази статия се базира на собствени анализи на Cy-Napea® и публично достъпни, проверени източници.

Източници:

• „The Day Marks & Spencer Fell“ – блог на Cy-Napea®

• National Crime Agency – прессъобщение от 10 юли 2025

• DigitalCloudUK – стратегия за възстановяване

• Infosecurity Magazine – обединена атака срещу M&S и Co-op

• Kaspersky – технически анализ на DragonForce

• BleepingComputer – хронология и тактики на атаката

Marks & Spencer не просто оцеля — тя се трансформира. А Cy-Napea® бе там: като ранен алармиращ сигнал, като аналитик и като доказателство, че дигиталната защита може да бъде по-бърза от атаката.