Los hackers de M&S enviaron mensajes abusivos y una demanda de rescate directamente al director ejecutivo.
Los hackers de Marks & Spencer enviaron un correo electrónico lleno de insultos directamente al director de la empresa, alardeando de lo que habían hecho y exigiendo un pago, según ha sabido BBC News.
El grupo de hackers DragonForce envió el mensaje, escrito en un inglés chapucero, el 23 de abril al director ejecutivo de M&S, Stuart Machin, utilizando una cuenta de correo electrónico de un empleado.
El correo electrónico confirma por primera vez que M&S ha sido hackeada por el grupo de ransomware, algo que M&S se ha negado a reconocer hasta ahora.
«Hemos marchado desde China hasta el Reino Unido y hemos violado sin piedad su empresa y encriptado todos los servidores», escribieron los hackers.
«El dragón quiere hablar con usted, así que diríjase a [nuestra página web en la darknet]».
El ciberataque ha sido muy perjudicial para M&S, con un coste estimado de 300 millones de libras esterlinas. Más de seis semanas después, sigue sin poder aceptar pedidos online.
El correo electrónico de extorsión fue mostrado a la BBC por un experto en ciberseguridad.
El director general de M&S y otros siete ejecutivos recibieron el mensaje con contenido racista.
Además de presumir de haber instalado un ransomware en todo el sistema informático de M&S para inutilizarlo, los hackers afirman haber robado los datos privados de millones de clientes.
Casi tres semanas después, los clientes fueron informados por la empresa de que sus datos podrían haber sido robados.
El correo electrónico fue enviado, aparentemente utilizando la cuenta de un empleado del gigante informático indio Tata Consultancy Services (TCS), que lleva más de una década prestando servicios informáticos a M&S.
El trabajador informático indio, afincado en Londres, tiene una dirección de correo electrónico de M&S, pero es empleado remunerado de TCS.
El ataque parece haber sido dirigido contra él personalmente.
TCS ha declarado anteriormente que está investigando si fue la puerta de entrada del ciberataque.
La empresa ha declarado a la BBC que el correo electrónico no se envió desde su sistema y que no tiene relación con la violación de la seguridad de M&S.
M&S se ha negado a hacer comentarios.
Podemos ayudarnos mutuamente.
Un enlace de la Darknet compartido en el correo electrónico de extorsión conecta con un portal para que las víctimas de DragonForce comiencen a negociar el pago del rescate. Esto es un indicio más de que el correo electrónico es auténtico.
Al compartir el enlace, los hackers escribieron: «Que empiece la fiesta.» Envíenos un mensaje; lo haremos rápido y fácil para nosotros».
Los delincuentes también parecen tener detalles sobre la póliza de seguro cibernético de la empresa, ya que dicen: «Sabemos que podemos ayudarnos mutuamente de forma generosa: ()».
El director ejecutivo de M&S se ha negado a decir si la empresa ha pagado un rescate a los hackers.
DragonForce terminó el correo electrónico con una imagen de un dragón lanzando fuego.
El correo electrónico confirma por primera vez la relación entre el ataque informático a M&S y el ciberataque a Co-op, ocurrido casi al mismo tiempo, del que también se ha responsabilizado DragonForce.
Los dos ataques, que comenzaron a finales de abril, han causado estragos en las dos cadenas minoristas. Algunas estanterías de Co-op quedaron vacías durante semanas, mientras que M&S prevé que sus operaciones se vean interrumpidas hasta julio.
Aunque ahora sabemos que DragonForce está detrás de ambos, todavía no está claro quiénes son los verdaderos piratas informáticos.
DragonForce ofrece a los ciberdelincuentes afiliados diversos servicios en su sitio web de la darknet a cambio de un 20 % de los rescates recaudados.
Cualquiera puede registrarse y utilizar su software malicioso para cifrar los datos de las víctimas o utilizar su sitio web de la darknet para extorsionar públicamente.
No ha aparecido nada en el sitio web de filtraciones de la red oscura de los delincuentes sobre Co-op o M&S, pero los hackers dijeron a la BBC la semana pasada que tenían sus propios problemas informáticos y que publicarían información «muy pronto».
Algunos investigadores afirman que DragonForce tiene su sede en Malasia, mientras que otros dicen que en Rusia. Su correo electrónico a M&S da a entender que son de China.
Aumentan las especulaciones de que un colectivo informal de jóvenes hackers occidentales conocido como Scattered Spider podría ser el responsable de los ataques, así como del perpetrado contra Harrods.
Scattered Spider no es realmente un grupo en el sentido habitual de la palabra. Se trata más bien de una comunidad que se organiza a través de sitios como Discord, Telegram y foros. De ahí la descripción «dispersos» que les dieron los investigadores de ciberseguridad de CrowdStrike.
Se sabe que algunos hackers de Scattered Spider son adolescentes de Estados Unidos y Reino Unido.
La Agencia Nacional contra el Crimen del Reino Unido afirmó en un documental de la BBC sobre los ataques a tiendas minoristas que está centrando sus investigaciones en el grupo.
La BBC habló con los hackers de Co-op, quienes se negaron a responder si eran o no miembros de Scattered Spider. «No responderemos a esa pregunta», fue todo lo que dijeron.
Dos de ellos dijeron que querían ser conocidos como «Raymond Reddington» y «Dembe Zuma», en referencia a los personajes de la serie policíaca estadounidense The Blacklist, en la que un criminal buscado ayuda a la policía a detener a otros delincuentes que figuran en una lista negra.
En un mensaje que me enviaron, se jactaban: «Estamos poniendo a los minoristas del Reino Unido en la lista negra».
Desde entonces se han producido una serie de ciberataques de menor envergadura contra minoristas británicos, pero ninguno tan impactante ni tan disruptivo como los perpetrados contra Co-op, M&S y Harrods.
0
