Marks & Spencer: ransomware-aanval vond plaats via social engineering
De ransomware-aanval op de Britse winkelketen Marks & Spencer vond plaats door middel van social engineering. Dat heeft voorzitter Archie Norman tegenover een commissie van het Britse parlement laten weten. De winkelketen is nog altijd niet volledig hersteld van de aanval die het op 22 april bekendmaakte. Zo is een belangrijk kledingdistributiecentrum nog altijd offline.
Volgens Norman heeft Marks & Spencer met vijftigduizend medewerkers een "enorm aanvalsoppervlak" en hoeft een aanvaller bij slechts één van deze werknemers succes te hebben. "De aanval vond plaats door wat mensen social engineering noemen." De voorzitter van Marks & Spencer stelde dat het ging om een "geraffineerde imitatie", waarbij de aanvallers zich voordeden als iemand en over de informatie van deze persoon beschikten. Voor een deel van de toegang was ook een derde partij betrokken, aldus Norman, die geen verdere details gaf.
"Het is ook een reminder dat dit aanvalsoppervlak lastig te verdedigen is." De voorzitter voegde toe dat Marks & Spencer als oude bedrijf tal van legacy systemen heeft en de combinatie van oude en nieuwe systemen het lastiger maakt om te compartimenteren. Daarnaast maakt dit het ook lastiger om systemen weer te herstellen en veilig online te brengen, ging Norman verder.
De voorzitter wilde niet tegenover parlementsleden vertellen of Marks & Spencer de aanvallers losgeld heeft betaald. De aanval op de winkelketen zou het werk zijn van een groep genaamd Scattered Spider, die bekendstaat om social engineering-aanvallen. De groep zou vervolgens van de DragonForce-ransomware gebruik hebben gemaakt voor het versleutelen van gegevens. In mei liet Marks & Spencer weten dat de aanval een impact van omgerekend 355 miljoen euro op de bedrijfswinst heeft.
Dus.. Je hebt een bedrijf met 55.000 medewerkers, je draait legacy systemen (allicht) gecombineerd met moderne systemen. Je hebt 55.000 medewerkers met verschillende functies, welke (hoop ik?) verschillende rechten hebben binnen jouw landschap. Hoe krijg je het voor elkaar om je systemen zo te 'compartimenteren', dat je belangrijkste systemen (!!) door een SE aanval op een van je (vermoedelijk reguliere) gebruikers direct worden getroffen door ransomware? Waar is je back-up strategie? Je netwerksegmentatie (en, nog belangrijker, -isolatie)? Je firewall regels? Je IDS, IPS en antivirus? De ACL en GPO's op je werkstations of VDI's?
Dit leest op alle vlakken alsof het bedrijf vooral geen geld wilde uitgeven aan cybersec en hier nu de rekening voor mag betalen. Zure pil, maar anno 2025 niet geheel onterecht. Ja, ieder bedrijf kan getroffen worden door ransomware, maar dit zou niet je gehele bedrijfsvoering plat moeten leggen. Je medewerkers horen geen cmd, bat, ps of andersoortige bestanden uit te kunnen voeren. Dit moet toch ergens in een risico analyse, of tijdens de BCM naar voren zijn gekomen als scenario?
Dus.. Je hebt een bedrijf met 55.000 medewerkers, je draait legacy systemen (allicht) gecombineerd met moderne systemen. Je hebt 55.000 medewerkers met verschillende functies, welke (hoop ik?) verschillende rechten hebben binnen jouw landschap. Hoe krijg je het voor elkaar om je systemen zo te 'compartimenteren', dat je belangrijkste systemen (!!) door een SE aanval op een van je (vermoedelijk reguliere) gebruikers direct worden getroffen door ransomware? Waar is je back-up strategie? Je netwerksegmentatie (en, nog belangrijker, -isolatie)? Je firewall regels? Je IDS, IPS en antivirus? De ACL en GPO's op je werkstations of VDI's?
Dit leest op alle vlakken alsof het bedrijf vooral geen geld wilde uitgeven aan cybersec en hier nu de rekening voor mag betalen. Zure pil, maar anno 2025 niet geheel onterecht. Ja, ieder bedrijf kan getroffen worden door ransomware, maar dit zou niet je gehele bedrijfsvoering plat moeten leggen. Je medewerkers horen geen cmd, bat, ps of andersoortige bestanden uit te kunnen voeren. Dit moet toch ergens in een risico analyse, of tijdens de BCM naar voren zijn gekomen als scenario?
Je kunt nog zoveel maatregelen nemen als je wil. De gebruiker is het grootste risico.
Bij ons heeft ook iemand toegang weten te krijgen doordat een gebruiker op een link klikte zijn credentials en token in vulde.
Er gingen direct alarm bellen af, maar voor je de hackers geblokkeerd hebt ben je toch een half uur verder. Hier was geen sprake van ransomware gelukkig, maar toch.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?