De cyberaanvallen van april 2025 gericht op Britse retailers Marks & Spencer en Co-op zijn geclassificeerd als een “single gecombineerd cyberevenement”.
Dat is volgens een beoordeling van het Cyber Monitoring Center (CMC), een in het VK gevestigde onafhankelijke, non-profitorganisatie die door de verzekeringssector is opgezet om grote cyberevenementen te categoriseren.
“Gezien het feit dat een dreigingsacteur de verantwoordelijkheid opeiste voor zowel M&S als Co-op, de nauwe timing en de vergelijkbare tactieken, technieken en procedures (TTP’s), heeft CMC de incidenten beoordeeld als een enkele gecombineerde cybergebeurtenis,” zei de CMC.
De organisatie heeft de verstoring van de retailers gecategoriseerd als een “systemisch evenement” categorie 2. ” Naar schatting zal de beveiligingsinbreuken een totale financiële impact hebben van £ 270 miljoen ($ 363 miljoen) tot £ 440 miljoen ($ 592 miljoen).
De cyberaanval op Harrods rond dezelfde tijd is echter in dit stadium niet opgenomen, onder vermelding van een gebrek aan voldoende informatie over de oorzaak en impact.
De initiële toegangsvector die wordt gebruikt in de aanvallen gericht op Marks & Spencer en Co-op draaide zich om het gebruik van social engineering-tactieken, met name gericht op IT help bureaus.
De CMC merkte verder op dat zijn attributie -inspanningen nog steeds aan de gang zijn. Dat gezegd hebbende, wordt aangenomen dat de beruchte cybercriminale groep bekend als Scattered Spider (AKA UNC3944) achter de intrusies zit.
De groep, een uitloper van de grotere cybercrime-gemeenschap die bekend staat als de COM, heeft een track record van het gebruik van zijn Engelstalige leden om geavanceerde sociale engineeringaanvallen uit te voeren, waarbij ze zich voordoen als leden van de IT-afdeling van een bedrijf om ongeautoriseerde toegang te verkrijgen.
“De impact van dit evenement is ‘smal en diep’, met belangrijke implicaties voor twee bedrijven en knock-on effecten voor leveranciers, partners en dienstverleners,” zei de CMC.
Eerder deze week onthulde Google Threat Intelligence Group (GTIG) dat verspreide Spider -actoren zich begonnen te richten op grote verzekeringsmaatschappijen in de Verenigde Staten.
“Gezien de geschiedenis van deze acteur om zich op een sector tegelijk te concentreren, moet de verzekeringssector op een hoge alert zijn, vooral voor schema’s voor sociale engineering die zich richten op hun hulpdesks en callcenters,” zei John Hultquist, hoofdanalist bij GTIG.
“De verwachte dreiging van Iraanse cybercapaciteit voor Amerikaanse organisaties is de laatste tijd de focus van veel discussies, maar deze actoren richten zich al op kritieke infrastructuur. We verwachten op korte termijn meer spraakmakende incidenten naarmate ze van sector naar sector gaan.”
De ontwikkeling komt wanneer Indian Consulting Giant Tata Consultancy Services (TCS) onthulde dat haar systemen of gebruikers niet werden aangetast als onderdeel van de aanval op Marks & Spencer. Vorige maand meldde de Financial Times dat TCS intern onderzoekt of zijn systemen werden gebruikt als launchpad voor de aanval.
Het volgt ook een nieuwe strategie van de Qilin -ransomware -operatie waarbij juridische bijstand wordt geboden om druk op te wekken tijdens de onderhandelingen van losgeld. De dreigingsacteurs beweren ook dat ze een intern team van journalisten hebben die kunnen samenwerken met de juridische afdeling om blogberichten te maken en te helpen bij de onderhandelingen van slachtoffers.
