Les détaillants britanniques Marks & Spencer, coopérative, et Harrods ont été ciblés par les cyberattaquants au cours des dernières semaines.
Il est difficile de dire que les attaques ont été lancées par le même groupe: les entreprises victimes partagent peu de détails et les attaquants professeurs sont susceptibles d’exagérer l’effet des attaques et autrement induit en erreur toutes les personnes impliquées et tous ceux qui regardent de l’extérieur.
Que savons-nous des attaques
Tout a commencé – publiquement, du moins – avec un «cyber-incident» chez le détaillant multinational britannique Marks & Spencer.
La société a confirmé le 22 avril 2025, qu’une cyberattaque les a forcés en mode défense. Depuis lors, M&S a fait une pause en prenant des commandes via son site, les applications et par téléphone, et ses magasins physiques ont subi des étagères vides et une disponibilité limitée de certains articles, probablement en raison de la désactivation temporaire de son système de commande de stock et de l’arrondissement des magasins.
Il n’a toujours pas été officiellement confirmé si les attaquants – soupçonnés d’être soit des membres du collectif de piratage de Spider Spider ou de l’utilisation des mêmes tactiques pour obtenir un accès initial, puis en utilisant le crrypteur DragonForce – ont réussi avec les données des clients ou de l’entreprise.
La semaine dernière, Harrods Group, qui exploite le célèbre grand magasin de luxe à Londres Harcèlementa déclaré qu’ils avaient géré “une tentative de cyberattaque” et qu’ils “ont pris des mesures immédiates pour assurer la sécurité des systèmes”. Contrairement à M&S, Harrods maintient sa boutique en ligne en marche.
Enfin: Coopérativeune coopérative de consommation britannique qui, entre autres, gère une entreprise de vente au détail d’épicerie, a confirmé mercredi dernier qu’elle avait également été touchée et qu’ils ont pris des «mesures proactives» pour repousser les attaquants.
Mais, selon la BBC, les attaquants – ostensiblement le même groupe qui ont violé M&S et ciblé Harrods – ont réussi à infiltrer ses réseaux informatiques et ses systèmes plusieurs jours avant la confirmation officielle, ont volé des informations privées de millions de ses membres, clients et employés, et ont été menaçants de le libérer s’ils ne sont pas payés.
Plus récemment, le PDG de la coopérative, Shirine Khoury-Haq, a confirmé que les attaquants «avaient pu accéder à un montant limité de données des membres, qui comprenait le nom, la date de naissance et les coordonnées, mais ils n’ont pas été en mesure d’accéder aux informations financières des membres».
“Les mots de passe n’ont pas été compromis et nous ne demandons pas aux membres de faire quoi que ce soit différemment”, a-t-elle ajouté.
Le groupe de piratage a apparemment utilisé la même tactique pour accéder à un accès initial: ils ont conçu un employé social, ont repris leur compte en réinitialisant le mot de passe, ont utilisé le compte pour accéder au réseau de Co-Op, puis ont suivi le Active Directory (Windows) ntds.dit Fichier de la base de données, qui contient des informations d’identification cryptées pour les comptes des employés.
Il n’y a pas encore été mentionné de déployer des ransomwares sur des systèmes coopératifs.
Conseils pour les défenseurs
Le National Cyber Security Center britannique travaille avec les détaillants touchés «pour comprendre la nature des attaques et pour minimiser les dommages qui leur sont faits», a commenté dimanche Jonathon Ellison, directeur national de la résilience du NCSC, et Ollie Whitehouse, le CTO du centre, a commenté dimanche.
“Bien que nous ayons des idées, nous ne sommes pas encore en mesure de dire si ces attaques sont liées, s’il s’agit d’une campagne concertée d’un seul acteur ou s’il n’y a aucun lien entre eux. Nous travaillons avec les victimes et les collègues d’application de la loi pour le déterminer”, ont-ils déclaré.
Le chercheur en cybersécurité, Kevin Beaumont, qui travaillait pour la coopérative à l’époque et est toujours membre du client, a critiqué l’entreprise pour minimiser la gravité de l’attaque et pour ne pas avoir informé le personnel affecté et les membres des clients rapidement ou entièrement.
Il a également souligné que les assaillants peuvent faire ou non faire partie du collectif Spider Spider English sous langue anglophone, mais qu’ils utilisent les Manouvres popularisés par eux: le plus en évidence, ils se présentent comme du personnel informatique et des aides pour inciter les employés réels à la divulgation Accédez aux comptes des employés.
“Une fois qu’ils ont accès, ils vivent du terrain – en utilisant des équipes, une recherche de bureau pour trouver la documentation, les œuvres”, a-t-il noté.
«L’essentiel est: si vos employés internes peuvent devenir voyous et causer des dommages importants avant la détection, vous avez un problème grave si un groupe de crime électronique externe« devient »un employé. Vous devez donc les empêcher d’avoir accès via Microsoft 365, VPN et des systèmes de bureau virtuels – et / ou être en mesure de détecter des comptes en train de devenir avérés.»
Il a fourni des conseils supplémentaires aux défenseurs et leur a demandé de revoir les rapports précédents de la CISA sur les lapsus $ et Sported Spider pour apprendre à repousser ces types d’attaques.
“Les attaques contre Marks et Spencer, Co-op et Harrods sont liées”, a-t-il ajouté. «La charmante équipe de relations publiques de DragonForce, d’autres sont à venir.»
Comme l’a souligné Ellison et Whitehouse de NCSC, les bonnes défenses pour empêcher les mauvais acteurs soient indispensables, mais ils ne sont pas infaillibles – les organisations doivent également être en mesure de détecter les acteurs de la menace lorsqu’ils utilisent un accès légitime des employés, sont sur le réseau de l’entreprise, et dans les services cloud de l’organisation, et se préparent à contenir les attaquants et à se remettre de l’attaque.
Abonnez-vous à notre alerte e-mail de Breaking News pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici!
