Preloader

Office Address

2310 North Henderson Ave., Dallas, TX 75206

Phone Number

+1 (214) 646-3262
+359 897 65 77 77

Email Address

sales@cy-napea.com

Blog Details

Marks & Spencer dopo la tempesta digitale: Ricostruire un impero del retail

Marks & Spencer dopo la tempesta digitale: Ricostruire un impero del retail

Quattro arresti — Gli hacker previsti dietro l’attacco da un miliardo di sterline

La mattina del 10 luglio, la tranquillità di Londra e Staffordshire è stata interrotta da una serie di operazioni di polizia coordinate. Sono stati arrestati quattro sospetti tra i 17 e i 20 anni, ritenuti responsabili del devastante attacco informatico contro Marks & Spencer, il colosso britannico del commercio al dettaglio, paralizzato digitalmente sei settimane prima.

MaS1

Non si trattava di criminali internazionali ricercati. Erano giovani — studenti, freelance — presumibilmente affiliati al gruppo di hacker Scattered Spider (UNC3944), già noto per aver colpito giganti globali come MGM Resorts. Questa volta, però, il bersaglio non era Las Vegas, ma Londra. E la vittima, un’istituzione britannica.

Le conseguenze? Disastrose. Per 46 giorni, il commercio online è rimasto bloccato. Le catene di approvvigionamento sono crollate. I dati dei clienti sono stati compromessi. Il danno stimato supera un miliardo di sterline.

Ma il dettaglio più inquietante? Cy-Napea® lo aveva previsto.

Già il 26 maggio, appena un giorno dopo l’attacco, Cy-Napea® pubblicava l’articolo “The Day Marks & Spencer Fell: A Cyber Catastrophe That Shook Retail”, in cui venivano identificati Scattered Spider come probabili autori, descritta la ransomware DragonForce e analizzate le vulnerabilità nella rete dei fornitori — ben prima che le autorità ufficiali reagissero.

All’epoca, il report fu considerato speculativo. Oggi sembra la sceneggiatura dell’attacco.

Gli arresti confermano ciò che Cy-Napea® aveva già intuito: la criminalità informatica è giovane, decentralizzata e sorprendentemente efficace. L’immagine del hacker solitario in una stanza buia è superata — sostituita da adolescenti che, da camere da letto e caffetterie, riescono a paralizzare intere aziende.

Marks & Spencer non è stata solo una vittima. È stata un campo di prova per una nuova generazione di minacce digitali — e noi l’abbiamo documentata prima che la polvere si posasse.

 

Cronologia di un collasso — Come gli hacker hanno orchestrato l’assedio digitale

L’attacco a Marks & Spencer non è stato un singolo evento improvviso. È stato un assedio digitale pianificato nei minimi dettagli, distribuito su più giorni, con tecniche di inganno e movimenti silenziosi all’interno dei sistemi. Ecco la cronologia ricostruita e le tattiche impiegate che hanno portato al collasso digitale del gigante britannico del retail.

21–24 maggio: Infiltrazione iniziale

Secondo gli investigatori, l’attacco è iniziato diversi giorni prima dell’attivazione del ransomware.

  • Il primo accesso è avvenuto tramite un fornitore terzo nel settore della logistica e gestione magazzino.

  • Gli hacker hanno utilizzato tecniche di spear-phishing, fingendosi dipendenti M&S per ottenere credenziali di accesso.

  • Con queste credenziali, si sono mossi lateralmente nei sistemi interni, evitando i controlli di sicurezza.

25 maggio: Attivazione del ransomware

Alle 03:43 BST, il ransomware è stato attivato all’interno dell’infrastruttura centrale di Marks & Spencer.

  • Il malware utilizzato: DragonForce, una variante modulare del modello RaaS (Ransomware-as-a-Service).

  • In pochi minuti, i sistemi sono stati criptati: e-commerce, tracciamento ordini e database clienti sono diventati inaccessibili.

  • I tecnici IT inizialmente hanno pensato a un errore interno, ma presto hanno riconosciuto la gravità della situazione.

  • Il servizio Click & Collect è stato sospeso, i server backend sono collassati.

  • Entro mezzogiorno, l’intera piattaforma digitale era offline.

26 maggio: Cy-Napea® lancia l’allarme

Mentre la stampa taceva, Cy-Napea® pubblicava l’analisi:
“The Day Marks & Spencer Fell: A Cyber Catastrophe That Shook Retail”
L’articolo identificava Scattered Spider (UNC3944) come probabili responsabili, descriveva l’uso di DragonForce e analizzava le vulnerabilità nella rete dei fornitori.

MaS2Fu il primo avvertimento pubblico sulla tempesta digitale in corso.

27 maggio – 15 giugno: Contenimento e indagini

Marks & Spencer entra in modalità emergenza.

  • La comunicazione con i clienti viene limitata; la priorità è la gestione interna della crisi.

  • Le analisi forensi rivelano che il punto d’ingresso è stato un account compromesso di un fornitore.

  • I dati compromessi includono nomi, date di nascita e indirizzi emaili dati di pagamento non sono stati violati.

  • La perdita operativa viene stimata in 300 milioni di sterline.

16 giugno – 9 luglio: Silenzio operativo e collaborazione internazionale

Dietro le quinte, NCA, Interpol e FBI collaborano per tracciare le attività digitali dei responsabili.

  • Le transazioni in criptovaluta aiutano a localizzare i sospetti.

  • I modelli comportamentali di attacchi precedenti di Scattered Spider vengono confrontati con il caso M&S.

  • Due sospetti vengono identificati grazie a messaggi vanagloriosi pubblicati su forum del dark web.

10 luglio: Arresti all’alba

Operazioni di polizia vengono condotte a Londra, Staffordshire e West Midlands.

  • Quattro sospetti vengono arrestati: un ragazzo di 17 anni, due di 19 (di cui uno cittadino lettone) e una donna di 20 anni.

  • I dispositivi sequestrati contengono comunicazioni con broker di ransomware, materiali di formazione e registri di pagamento.

 

L’attacco a Marks & Spencer non è stato casuale. È stata un’operazione eseguita con precisione — fase dopo fase, con ingegno psicologico e rigore tecnico.

 

Anatomia dell’attacco — Le tecniche dietro il collasso digitale

Il collasso di Marks & Spencer non è stato causato da un errore tecnico isolato. È stato il risultato di un attacco informatico sofisticato, basato sulla manipolazione psicologica, sull’ingegneria sociale e su una strategia metodica. In questa parte analizziamo le tecniche utilizzate dagli aggressori — strumenti che oggi fanno parte del repertorio standard della criminalità digitale.

Ingegneria sociale: l’ingresso attraverso la fiducia

Gli hacker hanno sfruttato la vulnerabilità umana prima di quella tecnologica.

  • Si sono finti dipendenti o fornitori di M&S, utilizzando email contraffatte, profili LinkedIn falsi e persino videochiamate simulate.

  • Hanno ingannato fornitori terzi, ottenendo credenziali di accesso ai sistemi interni.

  • Con questi privilegi, hanno superato i firewall senza attivare allarmi.

Movimento laterale e mappatura della rete

Una volta dentro, gli aggressori hanno esplorato l’infrastruttura con discrezione.

  • Con le credenziali rubate, si sono mossi lateralmente tra i sistemi, cercando punti deboli.

  • Hanno sfruttato endpoint poco monitorati e condivisioni temporanee di file per espandere il controllo.

  • L’obiettivo era costruire una struttura di comando e controllo (C2) stabile e invisibile.

Alcuni account compromessi sono rimasti attivi per oltre 72 ore prima dell’attivazione del ransomware.

Distribuzione del ransomware DragonForce

MaS3

Il 25 maggio, l’attacco ha raggiunto il suo apice.

  • Il ransomware utilizzato, DragonForce, è una variante modulare del modello RaaS (Ransomware-as-a-Service).

  • In meno di 15 minuti, i sistemi centrali sono stati criptati.

  • Il malware includeva script di esfiltrazione dati, mirati a raccogliere nomi, email e date di nascita dei clienti.

  • Gli strumenti di ripristino interni sono stati bloccati, impedendo ogni tentativo di recupero.

Collasso dell’infrastruttura

L’impatto è stato immediato e totale.

  • Le vendite online e il servizio Click & Collect sono stati sospesi.

  • I sistemi logistici sono collassati, causando errori di inventario e ordini persi.

  • Anche i backup sono stati compromessi, rendendo inutili i tentativi manuali di ripristino.

Cancellazione delle tracce

Gli aggressori hanno agito con disciplina professionale.

  • I log di sistema e i timestamp sono stati manipolati per ostacolare le indagini forensi.

  • Le comunicazioni sono avvenute tramite rete Tor e chat criptate su Telegram.

  • I pagamenti in criptovaluta sono stati offuscati tramite servizi di mixing, rendendo difficile la tracciabilità.

Questo livello di sofisticazione suggerisce formazione avanzata o il supporto di gruppi criminali esperti.

 

Marks & Spencer non è stata distrutta in un giorno. È stata smantellata con precisione, sfruttando debolezze che le difese tradizionali non erano progettate per affrontare.

 

Rinascita — Come Marks & Spencer ha ripreso il controllo

Dopo l’attacco, Marks & Spencer si è trovata di fronte a un panorama digitale devastato. Sistemi paralizzati, fiducia dei clienti compromessa, perdite finanziarie enormi. Ma invece di ritirarsi, l’azienda ha scelto la trasparenza, l’innovazione e una ricostruzione ambiziosa.

Ripristino operativo e investimenti

Marks & Spencer ha stanziato 150 milioni di sterline per rafforzare la propria sicurezza informatica, collaborando con team forensi internazionali.

Azioni principali:

  • Creazione di un Security Operations Center (SOC) attivo 24/7

  • Adozione di un’architettura Zero Trust su tutta la rete aziendale

  • Formazione interna su phishing e verifica dei fornitori

  • Pubblicazione di report di trasparenza e offerte di compensazione per i clienti coinvolti

Secondo DigitalCloudUK, si tratta della più grande modernizzazione tecnologica nella storia dell’azienda.

MaS4Riconquista della fiducia digitale

Oltre al ripristino tecnico, M&S ha puntato a ricostruire la credibilità del marchio.

Misure adottate:

  • Autenticazione a due fattori per tutti gli account clienti

  • Backup cloud decentralizzati per evitare punti di fallimento singoli

  • Analisi comportamentale basata su intelligenza artificiale per rilevare tentativi di ingegneria sociale

Come riportato da Infosecurity Magazine, M&S potrebbe diventare un modello per l’intero settore retail britannico.

Test in laboratorio: Cy-Napea® contro DragonForce

Per verificare l’efficacia della propria tecnologia, Cy-Napea® ha simulato l’attacco in un ambiente controllato, utilizzando la stessa variante del ransomware DragonForce.

Risultati:

  • Il sistema EDR (Endpoint Detection & Response) ha rilevato e bloccato la minaccia in meno di 3 secondi

  • Ripristino automatico senza perdita di dati

  • Nessuna criptazione né esfiltrazione durante il test

Il test dimostra che una difesa proattiva può neutralizzare anche le minacce RaaS più avanzate. La metodologia completa sarà pubblicata in un white paper tecnico di Cy-Napea®.

Fonti e trasparenza

Questo contenuto si basa su analisi interne di Cy-Napea® e fonti pubbliche verificate.

Fonti:

 

Marks & Spencer non ha solo superato la crisi — ha ridefinito la resilienza digitale. E Cy-Napea® è stata al suo fianco: come sentinella, analista e prova vivente che la difesa può essere più veloce dell’attacco.

MaS5
 

Tags:
Share:
Cy-Napea® Team
Author

Cy-Napea® Team

Subscribe to our Newsletter

Be one of the first, who learns about newest Cyber threats

shape
https://www.facebook.com/cynapea
https://www.linkedin.com/company/cy-napea
Your experience on this site will be improved by allowing cookies. Learn more

These cookies are essential for the website to function properly.

These cookies help us understand how visitors interact with the website.

These cookies are used to deliver personalized advertisements.