מי תקף בסייבר את מרקס אנד ספנסר?

מרקס אנד ספנסר צופה הפסדים כספיים בשיעור של 300 מיליון פאונד (כ-400 מיליון דולר) ברווחים התפעוליים שלה השנה, בשל מתקפת הסייבר שחוותה. אירוע הסייבר קרה בשל טעות אנוש אצל ספקית צד ג'. רשת הקמעונאות הזהירה כי השיבוש בפעילות המקוונת שלה יימשך עד יולי.

מתקפת הסייבר אילצה את הקמעונאית לסגור את עסקי הביגוד המקוונים שלה למשך יותר משלושה שבועות, הותירה אותה בלא יכולת למלא בסחורה את חנויות המזון שלה כראוי, ומחקה כמעט 750 מיליון פאונד משווי השוק שלה. הרשת חשפה בראשונה בשבוע שעבר, כי חלק מהנתונים האישיים של לקוחותיה – נגנבו.

A month after hackers first struck M&S over Easter weekend the retailer now confirms customer data has been compromised in cyber attack. Not card or payment details.

Most likely names, addresses of customers , the same at Co-op which has been attacked by same cyber gang pic.twitter.com/DywO8bQE6M

— Ashley Armstrong (@AArmstrong_says) May 13, 2025

סטיוארט מאצ'ין, מנכ"ל הרשת, סירב לומר אם הוא או הרשת בהנהלתו שילמו דמי כופר להאקרים, וציין כי המתקפה הייתה תוצאה של "טעות אנוש", ולא חולשה במערכות ה-IT או במערכות הגנת הסייבר שלה. "שחקני איום צריכים להיות בני מזל רק פעם אחת, ולא השארנו את הדלת פתוחה, כך שזה לא היה קשור להיעדר השקעה בהגנה", הוסיף. מאצ'ין אישר כי פושעי סייבר הצליחו להשיג גישה למערכות הרשת באמצעות טקטיקות הנדסה חברתית שכוונו לספק צד שלישי. מאצ'ין לא פירט את זהות הספק, ואמר כי האירוע האיץ את תוכניות השדרוג של מערכות הרשת: היא תחדש חלק מהמערכות הטכנולוגיות שלה תוך שישה חודשים, ולא שנתיים, כפי שתוכנן במקור. הרשת מסרה כי היא עובדת "סביב השעון" כדי להכיל את "מתקפת הסייבר המתוחכמת והממוקדת" ולייצב את הפעילות וציינה כי היא צופה שהשיבושים בעולם הרכישות המקוונות יימשכו במהלך יוני ולתוך יולי.

אפשרות הרכישה מוקפאת. אתר מרקס אנד ספנסר. צילום: לכידת מסך מאתר מרקס אנד ספנסר

כיצד נערכו המתקפות והאם מרקס אנד ספנסר ספגה מתקפת כופרה?

חוקרי חברת הסייבר הישראלית סייפוקס (CYFOX) חשפו את שיטות התקיפה והמודיעין של קבוצת התקיפה דראגון פורס (DragonForce). זו דווחה כמי שעומדת מאחורי מתקפת הכופר על ענקיות הקמעונאות הבריטיות מארקס אנד ספנסר, קו-אופ (Co-op) והרודס (Harrods), שהתרחשה בשבועות האחרונים והובילה לדלף נתונים מאסיבי.

לפי החוקרים, קבוצת ההאקרים היא "גוף מתוחכם, המשתמש בשיטות מתקדמות להצפנה, הדלפה ולחץ פסיכולוגי על קורבנות".

המתקפה על מארקס אנד ספנסר כללה הצפנה של מערכות מידע קריטיות ופרסום הדרגתי של מידע רגיש של עובדים ולקוחות. ברשת דווח גם על שיבוש נרחב במערכות ההזמנות וההפצה, דבר שהוביל להפסדים של מיליוני ליש"ט ביום, ולביטול המוני של הזמנות לקראת הקיץ.

ברשת קו-אופ, התוקפים טענו לגניבת מידע של כ-20 מיליון חברי מועדון. בהרודס המתקפה השביתה חלק מהשירותים.

"מדובר בקבוצת איום רבת-זרועות, המשתמשת בטכניקות כמו הצפנת קבצים, איומי דלף, וטקטיקות של הנדסה חברתית – כדי למקסם נזק לארגונים", נכתב. "התשתית הדיגיטלית שלה כוללת רשימות קורבנות, שיטות תקיפה, וכלי שליטה מרחוק".

"דראגון פורס מתפקדת כיום כקבוצת תקיפה בעלת אופרציה שלמה"

הקבוצה, שמקורה במלזיה ושהחלה את דרכה כקבוצת אקטיביזם פוליטי עם זיקה למאבקים פרו-פלסטיניים, עברה בשנים האחרונות לשימוש נרחב במודלים של כופר כפול, Double Extortion – הצפנת מערכות הקורבן בשילוב איום בפרסום מידע רגיש שנגנב, במטרה ללחוץ על הקורבן לשלם דמי כופר.

חברי דראגון פורס משתמשים בגרסה של LockBit 3.0 עם התאמות שמקשות על זיהוי הנוזקה, כולל דחיסה מיוחדת להטעיית תוכנות אבטחה, טפטים מותאמים ותשתיות תקשורת מוצפנות מבוססות Tor ו-TOX, תוך מחיקת לוגים ממערכות ההפעלה והתחמקות מכלי ניטור. התקיפות מבוצעות לרוב על ידי חדירה ראשונית באמצעות דיוג ממוקד (Spear phishing), פריצה ל-VPN או גניבת אישורי גישה.

בנוסף, קבוצת דראגון פורס בנתה תשתית מקוונת ב-Dark Web. זו כוללת לא רק קבצים גנובים, אלא גם תמלול של שיחות עם קורבנות וטיימרים להצגת דד-ליין לתשלום כופר, "רכיב המעלה את הלחץ הפסיכולוגי".

"הקבוצה פועלת כיום בשיתוף עם קבוצות נוספות כמו Scattered Spider ומספקת להן תשתיות כופרה כשירות", נכתב. "שיתוף פעולה זה מגביר את ההיקף והתחכום של המתקפות… המעבר שלהם ממניעים אידיאולוגיים לגרעין תקיפה כלכלי ומאורגן, מלווה בהתמקדות במגזרים קריטיים – כמו אנרגיה, בריאות, טכנולוגיה וקמעונאות – כולל מטרות במערב אירופה, הודו וישראל".

ניר יהושע, מנהל מחקר בסייפוקס. צילום: יח"צ

לדברי ניר יהושע, מנהל מחקר בסייפוקס, "לא מדובר עוד באקטיביסטים עם אג'נדה פוליטית בלבד. דראגון פורס מתפקדת כיום כקבוצת תקיפה בעלת אופרציה שלמה, עם תשתיות כופרה כשירות (RaaS) ונוכחות גלובלית ברורה".

Scattered Spider, המכונה גם UNC3944, היא קבוצת פריצה המורכבת בעיקר מבני נוער וצעירים מהמערב, ככל הנראה ארצות הברית ובריטניה. הקבוצה זכתה לפרסום בזכות מעורבותה בפריצה ובסחיטה של שתי חברות הימורים וקזינו ענקיות – ​​Caesars Entertainment ו-MGM Resorts International ב-2023. באחרונה, חבריה פרצו ללקוחות סנואופלייק (Snowflake). הקבוצה היא מקהילת פריצה עולמית גדולה, המכונה "הקהילה", או "ה-Com", שחבריה פרצו לחברות טכנולוגיה אמריקניות גדולות.