Op 23 april ontving Stuart Machin, CEO van Marks & Spencer (M&S), een dreigende en racistische e-mail van de hackersgroep DragonForce. In gebrekkig Engels eisten de cybercriminelen losgeld voor een grootschalige ransomware-aanval op het bedrijf. De BBC heeft de e-mail ingezien via een cybersecurity-expert. Het bericht werd verzonden vanaf het gehackte e-mailadres van een werknemer van Tata Consultancy Services (TCS), een Indiaas IT-bedrijf dat al jaren diensten levert aan M&S.
Marks & Spencer
In de e-mail claimen de hackers dat zij alle servers van M&S hebben versleuteld en gevoelige klantgegevens van miljoenen mensen hebben buitgemaakt. Pas bijna drie weken later informeerde M&S zijn klanten over een mogelijke datadiefstal. De e-mail bevatte bovendien een link naar een darknet-portaal waar slachtoffers losgeld kunnen onderhandelen. Daarbij schreven de hackers: “Let’s get the party started. Message us, we will make this fast and easy for us.” Ze beweerden ook op de hoogte te zijn van de cyberverzekering van M&S.
Hack
Opvallend is dat M&S publiekelijk nog altijd niet heeft bevestigd dat er sprake is van een hack, ondanks deze duidelijke aanwijzingen. TCS ontkent betrokkenheid en stelt dat de e-mail niet via hun systemen is verzonden. M&S zelf weigert ieder commentaar.
Cyberaanval
De aanval op M&S blijkt gelinkt aan een gelijktijdige cyberaanval op de Britse supermarktketen Co-op, eveneens opgeëist door DragonForce. Beide bedrijven kampen sinds eind april met ernstige IT-storingen, waarvan M&S verwacht dat de gevolgen tot in juli voelbaar zullen zijn. Er is speculatie dat de hackers gebruikmaken van diensten van een grotere criminele organisatie, mogelijk Scattered Spider – een los netwerk van vaak jonge westerse cybercriminelen dat communiceert via platforms als Discord en Telegram.
Hoewel er nog niets op het darkweb is gepubliceerd over de gestolen gegevens, beloofden de hackers dat “informatie zeer binnenkort” zal worden vrijgegeven. De Britse National Crime Agency onderzoekt de zaak.