Nakon opsežnih istraga, stručnjaci su sve napade povezali s hakerskom grupom DragonForce, koja se javno pohvalila djelovanjem. Njihov glasnogovornik nedavno je u razgovoru za Bloomberg News otvoreno priznao da su upravo oni sa svojim partnerima stajali iza udara na sva tri ugledna britanska trgovačka lanca.

Financijska motivacija napada

Predstavnik DragonForcea izjavio je da je financijska iznuda primarni motiv iza napada. Grupa tvrdi da je izvukla korisničke podatke iz ciljanih tvrtki. Ovo priznanje služi kao prva potvrda da su zasebni incidenti povezani i izvršeni od strane jedne organizirane skupine.

Marks & Spencer prvi je otkrio da je postao žrtvom "kibernetičkog incidenta" 22. travnja. Bloomberg News prethodno je izvijestio da su neki sustavi tvrtke zaraženi DragonForceovim ransomwareom, koji šifrira datoteke kako bi ih učinio nedostupnima. Napad je ozbiljno poremetio poslovanje, prisiljavajući M&S na obustavu beskontaktnih plaćanja i online narudžbi, a pojavljuju se problemi s dostupnošću zaliha za određene proizvode.

Glavni izvršni direktor M&S-a Stuart Machin osvrnuo se na situaciju u petak putem objave na društvenoj platformi X, ispričavajući se zbog poremećaja i uvjeravajući kupce da tvrtka radi "dan i noć" na rješavanju problema.

Lančani napad na britanske trgovce

Nakon incidenta s M&S-om, Co-op je 30. travnja objavio da je otkrio pokušaje neovlaštenog pristupa svojim sustavima, što je rezultiralo manjim utjecajem na neke uredske i pozivne centre. U petak je Co-op opisao situaciju kao "vrlo složenu" i potvrdio tekuću istragu u suradnji s britanskim vlastima. Luksuzna robna kuća Harrods postala je treća žrtva kada je 1. svibnja otkrila pokušaje kompromitiranja svojih sustava, što je potaknulo tvrtku da ograniči pristup internetu na svojim lokacijama kao preventivnu mjeru.

DragonForce, sofisticirani kriminalni kartel

Sigurnosni stručnjaci opisuju DragonForce kao sofisticirani kriminalni kartel. Skupina, čiji članovi ostaju neidentificirani, iznajmljuje svoj zlonamjerni softver i infrastrukturu drugim hakerima, uzimajući postotak prihoda od iznude. Prema Broadcomovoj sigurnosnoj diviziji Symantec, hakeri povezani s DragonForceom tvrde da su prošle godine imali više od 90 žrtava u različitim industrijama, uključujući zdravstvo, proizvodnju i telekomunikacije. Njihovi napadi obuhvatili su više od desetak zemalja diljem Sjeverne Amerike, Europe, Bliskog istoka i Azije.

Na pitanje o potencijalnim pregovorima s pogođenim trgovcima, glasnogovornik DragonForcea odbio je komentirati. Naznačio je da tipični zahtjevi za otkupninom sadrže "sedam nula, eventualno šest", što sugerira plaćanja u milijunima do desetcima milijuna eura. "Naš posao nije uništavati, samo uzimamo nešto novca i odlazimo", izjavio je glasnogovornik.

Napadi "tek početak"

Skupina tvrdi da prikuplja terabajte ukradenih podataka iz kompromitiranih tvrtki i nagovijestila je da će ih objaviti online ako zahtjevi za otkupninom ne budu ispunjeni. Predstavnik je upozorio da su ovi napadi "tek početak" njihove kampanje usmjerene na britanski maloprodajni sektor.

Neki stručnjaci za kibernetičku sigurnost uočili su sličnosti između ovih napada i onih pripisanih drugoj hakerskoj grupi poznatoj kao Scattered Spider, koja je prethodno ciljala MGM Resorts International i Caesars Entertainment Inc. John Hultquist, glavni analitičar u Google Threat Intelligence Group, sugerira da bi Scattered Spider mogao surađivati s DragonForceom, koristeći njihov ransomware. Hultquist upozorava da Scattered Spider ima povijest metodičkog ciljanja tvrtki unutar specifičnog sektora, savjetujući partnerima pogođenih trgovaca da odmah pojačaju svoju sigurnosnu poziciju jer je "prijetnja neizbježna".