Sự gián đoạn do cuộc tấn công vào M&S vẫn tiếp diễn và dự kiến sẽ khiến nhà bán lẻ lớn này thiệt hại hàng trăm triệu bảng Anh.
Bốn người đã bị bắt giữ trong cuộc điều tra của cảnh sát về các cuộc tấn công mạng nhắm vào ba nhà bán lẻ nổi tiếng nước Anh là M&S (Marks & Spencer), Co-op (Co-operative Group) và Harrods.
Một cô gái 20 tuổi, hai nam thanh niên đều 19 tuổi và một người 17 tuổi đã bị bắt giữ tại London (thủ đô Anh) và khu thành thị West Midlands trong khuôn khổ chiến dịch của Cơ quan Phòng chống Tội phạm Quốc gia Anh (NCA), theo trang Sky News.
Họ bị bắt tại nhà riêng với nghi ngờ vi phạm Đạo luật Lạm dụng máy tính, tống tiền, rửa tiền và tham gia vào các hoạt động của một tổ chức tội phạm có tổ chức.
Các thiết bị điện tử của bốn nghi phạm này đã bị thu giữ và đang được những chuyên gia pháp y phân tích.
M&S đã phải ngừng nhận đơn đặt hàng trực tuyến và các kệ trong cửa hàng trở nên trống rỗng sau cuộc tấn công mạng vào tháng 4.
Cuộc tấn công ban đầu vào hệ thống của nhà bán lẻ này thông qua hình thức “giả mạo tinh vi” liên quan đến một bên thứ ba. Dự kiến sự gián đoạn tại M&S sẽ tiếp diễn đến hết tháng 7 này.
Co-op và Harrods cũng lần lượt trở thành mục tiêu của hacker sau đó.
Paul Foster, người đứng đầu đơn vị tội phạm mạng quốc gia của NCA, mô tả các vụ bắt giữ này là “bước tiến quan trọng” ở cuộc điều tra mà ông cho biết vẫn là “một trong những ưu tiên hàng đầu của cơ quan”.
Ông nói thêm: “Chúng tôi vẫn đang tiếp tục điều tra, phối hợp với các đối tác trong và ngoài nước, để đảm bảo những người chịu trách nhiệm sẽ bị xác định và đưa ra trước công lý”.
Các vụ bắt giữ vào sáng sớm 10.7 (giờ địa phương) nhận được sự hỗ trợ từ đơn vị tội phạm có tổ chức khu vực West Midlands và đơn vị tác chiến đặc biệt East Midlands.
Những kệ hàng trống rỗng tại một chi nhánh của Co-op ở thành phố Manchester (Anh) sau vụ tấn công mạng lớn - Ảnh: PA
Đầu tuần này, Archie Norman (Chủ tịch M&S) nói với các nghị sĩ Anh rằng vụ tấn công mạng gây ra “tổn thương tinh thần nghiêm trọng” và giống như một "trải nghiệm trên cơ thể".
Tuy nhiên, ông đã từ chối trả lời câu hỏi liệu M&S có trả tiền chuộc hay không.
“Chúng tôi không tiết lộ bất kỳ chi tiết nào về tương tác của M&S với kẻ đe dọa, gồm cả chủ đề này, nhưng toàn bộ thông tin đã được chia sẻ đầy đủ cho NCA”, ông nói.
Ước tính cuộc tấn công mạng sẽ khiến M&S thiệt hại lên tới 300 triệu bảng trong năm nay.
M&S: Nhóm DragonForce thực hiện vụ tấn công bằng ransomware quy mô lớn
M&S hôm 8.7 xác nhận rằng hệ thống mạng của hãng bán lẻ này ban đầu đã bị xâm nhập thông qua một “cuộc tấn công giả mạo tinh vi”, cuối cùng dẫn đến cuộc tấn công bằng ransomware (mã độc tống tiền) do nhóm DragonForce thực hiện.
Chủ tịch Archie Norman đã tiết lộ thông tin này trong buổi điều trần trước Tiểu ban Kinh tế thuộc Ủy ban Kinh doanh và thương mại của Quốc hội Vương quốc Anh, liên quan đến các cuộc tấn công mạng gần đây nhằm vào ngành bán lẻ tại Anh.
Dù không đi sâu vào chi tiết, ông cho biết những kẻ tấn công đã giả mạo một trong số 50.000 người đang làm việc với M&S để lừa bên thứ ba đặt lại mật khẩu của một nhân viên.
“Trong trường hợp của chúng tôi, cuộc xâm nhập ban đầu diễn ra vào ngày 17.4 thông qua cái mà giờ người ta gọi là kỹ thuật xã hội. Theo tôi hiểu, đó là một từ hoa mỹ cho việc mạo danh. Đây là một cuộc mạo danh tinh vi. Họ không đơn giản chỉ đến và nói: ‘Hãy đổi mật khẩu cho tôi’. Họ xuất hiện với đầy đủ thông tin như thể là người thật. Và một phần trong quy trình xâm nhập cũng có liên quan đến bên thứ ba”, Archie Norman giải thích với các nghị sĩ.
Hồi tháng 5, trang Financial Times đưa tin rằng công ty gia công phần mềm CNTT Tata Consultancy Services đã bắt đầu điều tra xem liệu họ có vô tình liên quan đến vụ tấn công M&S hay không. Tata Consultancy Services cung cấp dịch vụ hỗ trợ kỹ thuật cho M&S và nhiều khả năng đã bị những kẻ tấn công lừa đổi mật khẩu của một nhân viên. Sau đó, mật khẩu này được sử dụng để xâm nhập vào hệ thống của M&S.
Lần đầu tiên M&S đã chính thức nhắc đến DragonForce là tác nhân đứng sau vụ tấn công và nói nhóm ransomware này được cho là hoạt động từ châu Á.
“Kẻ chủ mưu của vụ tấn công được cho là DragonForce - nhóm ransomware mà chúng tôi tin rằng có trụ sở tại châu Á”, Archie Norman nói.
Kể từ sau vụ tấn công M&S, nhiều phương tiện truyền thông đã nhầm lẫn khi liên kết DragonForce Malaysia (nhóm hacker hoạt động vì mục tiêu chính trị, xã hội hoặc tư tưởng) với DragonForce.
DragonForce Malaysia được cho là ủng hộ Palestine và đang hoạt động tại Malaysia.
Theo trang BleepingComputer, vụ tấn công nhắm vào M&S do các tác nhân liên quan đến nhóm Scattered Spider thực hiện, với ransomware của DragonForce được triển khai trên hệ thống.
Scattered Spider là tên được đặt (không chính thức) cho nhóm tội phạm mạng gồm các cá nhân trẻ tuổi, chủ yếu từ Mỹ và Anh, hoạt động phân tán và phi tập trung, nổi lên từ khoảng năm 2022. Nhóm này có liên quan đến vụ tấn công hãng hàng không Qantas (Úc) gần đây.
Vụ việc buộc M&S phải chủ động tắt toàn bộ hệ thống để ngăn chặn sự lan rộng của ransomware. Tuy nhiên, đến lúc đó thì đã quá muộn vì nhiều máy chủ VMware ESXi đã bị mã hóa và các nguồn tin nói với BleepingComputer rằng khoảng 150GB dữ liệu bị đánh cắp.
Chiến thuật của nhóm DragonForce là “tống tiền kép”, tức là không chỉ mã hóa dữ liệu mà còn đánh cắp và đe dọa công bố chúng nếu tiền chuộc không được thanh toán.
Dù BleepingComputer được thông báo rằng dữ liệu đã bị đánh cắp, DragonForce vẫn chưa đăng thông tin nào về M&S trên trang rò rỉ dữ liệu của họ. Điều này có thể cho thấy M&S đã trả tiền chuộc để ngăn rò rỉ dữ liệu bị đánh cắp.
Khi được hỏi về yêu cầu tiền chuộc trong phiên điều trần, Archie Norman nói: “Chúng tôi sớm đưa ra quyết định rằng không ai tại M&S sẽ làm việc trực tiếp với những kẻ đe dọa. Chúng tôi cảm thấy điều đúng đắn là để việc đó cho các chuyên gia có kinh nghiệm”.
Có thể ông đang nói đến các công ty chuyên thương lượng tiền chuộc, hỗ trợ doanh nghiệp trong việc đàm phán với kẻ đe dọa và cung cấp Bitcoin để thanh toán.
Về câu hỏi liệu M&S có trả tiền chuộc hay không, Archie Norman nói họ không công khai các chi tiết này vì “không cho rằng điều đó có lợi cho công chúng”, nhưng khẳng định rằng mọi thông tin liên quan đã được chia sẻ đầy đủ với NCA và các cơ quan chức năng.
Các nhóm ransomware gần như không bao giờ hành động mà không tống tiền, thế nên nếu dữ liệu đã bị đánh cắp nhưng chưa bị rò rỉ đến nay thì có khả năng M&S đã trả tiền chuộc hoặc các cuộc đàm phán vẫn đang diễn ra.
Theo 1thegioi