英国零售商M&S呼吁强制报告勒索软件攻击,加强网络安全协作

英国零售商Marks & Spencer董事长Archie Norman呼吁政府强制企业报告勒索软件攻击,以增强情报共享和受害者支持。文章详细分析了M&S遭受的Scattered Spider团伙攻击事件,涉及社会工程、第三方漏洞及应对策略。

M&S呼吁强制勒索软件报告 | Computer Weekly

Marks & Spencer董事长Archie Norman表示,政府应将勒索软件报告要求扩展至企业,以帮助收集更多情报并更好地支持受害者。

事件背景与呼吁

Norman在向经济安全、军备和出口管制商业与贸易小组委员会作证时,将近期针对M&S系统的勒索软件攻击描述为一种“超体体验”。他呼吁网络攻击受害者勇敢面对,坦诚分享经历。尽管他不认为政府能通过监管实现安全,但政府应确保安全事件的经验教训得到讨论和传播,尤其是在董事会层面。

Norman表示,M&S希望利用自身经验为政府和其他企业提供帮助。“已有一些董事会邀请我分享我们的‘战争故事’,我肯定会这么做,”他说。“我们认为强制报告是一个非常有意义的想法。很明显,大量网络攻击从未向国家网络安全中心(NCSC)报告。事实上,我们有理由相信,过去四个月中有两起针对英国大型公司的重大网络攻击未被报告。”

他补充道:“我们认为这是我们对所发生事件认知的重大缺陷。对于达到一定规模的公司,如果在规定时间内报告重大攻击,这将增强中央情报机构的能力,而不会构成监管过度。”

攻击影响与应对

Norman透露,在攻击事件早期,M&S已将所有相关信息分享给NCSC,以便警告其他零售企业,可能包括Co-op Group。他还表示,M&S获得了美国FBI未公开程度的支持,称其在这方面“更加强大”。

讨论攻击影响时,Norman说:“可以公平地说,M&S的每个人都经历了这一事件。我们的普通店员以他们30年来从未有过的方式工作,加班加点以维持运营。更不用说我们的技术团队,网络团队可能一周没有睡觉……将其描述为创伤性事件并不夸张。”

M&S仍在重建业务,预计需要一段时间。Norman承认其整体IT环境是遗留系统的大杂烩,并表示组织正在推进技术刷新的多个阶段。

攻击细节与调查

Norman拒绝评论议员David Davis在下议院关于一家未具名英国公司支付巨额赎金的言论,也未直接披露M&S是否收到勒索要求。他表示,早期M&S决定不与攻击者直接沟通,而是交由网络专业人员处理。

Norman补充说,一段时间内M&S不知道攻击者是谁。“他们从不发信署名Scattered Spider——那不会发生,”他说。“甚至在攻击者渗透我们系统大约一周后,我们都没有听到威胁行为体的消息。你完全依赖安全顾问来判断情况,他们通过攻击向量识别了威胁行为体。”

“此外,他们通过媒体沟通,在这种情况下,他们选择的沟通渠道主要是BBC。早上刷牙时,有人通过BBC发布据称攻击你业务的人的信息,有时是一种不寻常的体验。”

社会工程与防御

Norman特别否认了媒体关于M&S“留下后门”的报道,称攻击是通过未披露的第三方进行的社会工程,这与过去几周的广泛猜测一致。

威胁情报专家Recorded Future的现场首席信息安全官Richard LaTulip表示:“对M&S的攻击被描述为复杂冒充,可能涉及使用高级社会工程策略,包括深度伪造音频或视频,以 convincingly 冒充高管或可信内部人员。”

他补充道:“防御复杂冒充攻击需要分层方法。虽然技术防御(如多因素认证和身份验证工具)至关重要,但人类层仍然是最脆弱的。这就是为什么持续培训和高管级意识至关重要。员工,尤其是高风险角色的员工,必须接受教育以识别社会工程策略,包括AI生成的深度伪造或冒充领导的紧急消息。”

时间线:2025年Scattered Spider攻击事件

  • 2025年4月22日:M&S的网络攻击导致客户无法进行非接触式支付或使用点击取货服务。
  • 4月24日:M&S仍无法提供非接触式支付或点击取货服务,称攻击迫使许多流程离线以保护客户、员工和业务。
  • 4月25日:M&S关闭在线销售以遏制和减轻系统严重网络攻击。
  • 4月29日:臭名昭著的Scattered Spider黑客团伙可能是持续攻击M&S的幕后黑手,导致零售商系统瘫痪,电子商务运营混乱。
  • 4月30日:Co-op不断发展的网络事件迫使零售商关闭部分IT系统以遏制攻击。
  • 5月1日:Co-op告诉员工停止使用VPN,并警惕通信渠道可能被监控,因为网络攻击持续发展。
  • 5月1日:Harrods确认是最新遭受网络攻击的英国零售商,关闭许多系统以减轻影响。
  • 5月2日:国家网络安全中心确认向M&S、Co-op和Harrods提供援助,英国零售商的担忧日益增长。
  • 5月7日:英国零售商遭受的明显勒索软件攻击尚未结束。
  • 5月13日:M&S指示所有客户更改账户密码,因大量数据在DragonForce勒索软件攻击中被盗。
  • 5月14日:谷歌威胁情报分析师意识到针对美国零售商的多个进行中网络攻击,与据称攻击英国M&S和Co-op的Scattered Spider团伙有关。
  • 5月20日:冷链服务提供商Peter Green Chilled(供应Aldi、Sainsbury’s和Tesco)在屈服于勒索软件攻击后被迫停止运营。
  • 6月11日:所谓的黑天鹅事件暴露了即使最复杂预测模型中的盲点,表明需要重新思考企业及其投资者如何量化和准备网络风险。
  • 6月13日:近期英国零售商的一系列网络攻击必须成为警钟,以在数字供应链中构建更多网络弹性并加固防御社会工程攻击。
  • 6月17日:在一系列针对知名零售商和消费品牌的高调攻击后,Scattered Spider网络犯罪团伙似乎将目标扩展至保险 sector。
  • 6月20日:英国网络监控中心发布了首次重大事件深度评估,反思Scattered Spider攻击M&S和Co-op的影响和经验教训。
  • 6月27日:出现多起航空公司网络攻击报告——Google Cloud的Mandiant认为它们有关联。
  • 7月2日:澳大利亚旗舰航空公司Qantas调查其呼叫中心使用的第三方平台被入侵后,多达600万客户个人信息的重要数据盗窃。
  • 7月2日:澳大利亚航空公司Qantas从第三方呼叫中心开始的 developing 网络攻击已被初步归因于Scattered Spider。了解更多并了解受影响者的后续步骤。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次