Az Egyesült Királyság Nemzeti Bűnüldözési Ügynöksége (NCA) négy személyt vett őrizetbe a Marks & Spencer (M&S), a Co-op és a Harrods ellen 2025 áprilisában elkövetett kibertámadások kapcsán. A gyanúsítottak közül egy 20 éves nőt Staffordshire-ben, három fiatalt pedig Londonban és a West Midlands régióban tartóztattak le – egyikük lett állampolgár.
👮 A letartóztatások és vádak
Az őrizetbe vételek során a hatóságok elektronikus eszközöket is lefoglaltak. A gyanúsítottakat a következő bűncselekményekkel gyanúsítják:
- Számítógépes bűncselekmények (Computer Misuse Act)
- Zsarolás
- Pénzmosás
- Szervezett bűnözői csoportban való részvétel
Paul Foster, az NCA Kiberbűnözési Egységének vezetője szerint ez egy jelentős előrelépés a nyomozásban.
💥 Az áprilisi kibertámadások következményei
A támadások 2025 áprilisában kezdődtek, és súlyos károkat okoztak az érintett cégeknél:
🛍️ Marks & Spencer (M&S)
- Személyes adatok kerültek ki ügyfelekről és dolgozókról
- Ransomware bénította meg az IT-rendszereket
- A támadók zsaroló e-mailt küldtek a vezérigazgatónak
- A működés részben leállt októberig, a kár: 300 millió font
Az M&S elnöke a parlamenti meghallgatáson úgy fogalmazott, hogy ez “szándékos cégmegsemmisítő akció” lehetett.
🛒 Co-op
- Üzletek polcai hetekig üresek maradtak
- A cég csak akkor ismerte el a támadást, amikor a hackerek bizonyítékot szolgáltattak
- Ransomware-t sikerült megelőzniük az internetkapcsolat azonnali megszakításával
🏬 Harrods
- Kevesebb kárt szenvedett, mivel gyorsan leválasztották rendszereiket
- A megelőző intézkedések sikeresek voltak, de adatbiztonsági incidens így is történt
A Cyber Monitoring Centre (CMC) ezeket az eseményeket egy összehangolt kibertámadásnak minősítette, a becsült kár: £270–£440 millió.
🕵️ Ki áll a támadások mögött? – Scattered Spider
A gyanú szerint a Scattered Spider nevű hackercsoport felelős a támadásokért. A kollektíva ismert:
- Fiatal tagjairól (tizenévesek, 20 év alattiak)
- Társadalmi manipuláción (social engineering) alapuló technikáiról
- Ransomware-támadásairól és kettős zsarolásairól
🎯 Jellemző módszereik:
- Smishing, vishing (SMS és hanghívásos adathalászat)
- Help desk megszemélyesítés
- SIM-csere (SIM swapping) az azonosításhoz
- MFA (többlépcsős azonosítás) megkerülése
- Active Directory kompromittálása
- RMM-eszközökkel való hozzáférés (pl. AnyDesk)
- Jelszó dump eszközök (pl. Mimikatz, DCSync)
📌 Kapcsolt célpontjaik korábban:
- MGM Resorts, Caesars Entertainment (kaszinók)
- Visa, Twilio, AT&T, Ticketmaster, Neiman Marcus
- Snowflake ügyfelek – több mint 100 szervezet
🔒 Védekezési javaslatok vállalatok számára
A Scattered Spider jellegű támadások ellen összetett védelem szükséges:
- Help desk protokollok szigorítása
- Phishing-ellenálló MFA (pl. hardveres tokenek)
- EDR (Endpoint Detection & Response) rendszer teljes körű alkalmazása
- Webes forgalom szűrése – proxy vagy DNS szűrés
- Fájl- és hozzáférésfigyelő rendszer (pl. Varonis)
- Red team gyakorlatok, AD-tesztelések
- Szerverek internetelérésének korlátozása (default-deny)
- Rendszeres frissítések és patch-elés
- Offline biztonsági mentések, gyakori visszaállítás-teszt
📅 Emlékeztető idővonal
- 2023. szept. – MGM Resorts: teljes hotelrendszer leállása
- 2023. okt. – Caesars Entertainment: 30 millió dolláros zsarolás
- 2024. júl. – UK: 17 éves hacker őrizetbe vétele
- 2025. április – M&S, Co-op, Harrods megtámadva
- 2025. július 10. – NCA letartóztatások bejelentése
🔍 Záró gondolat
A digitális fenyegetések új generációja már nem csak pénzügyi szektort, hanem kiskereskedelmet és kritikus infrastruktúrákat is célba vesz. A fiatalokból álló Scattered Spider csoport egy olyan “kiberszélvész”, amely bárhol lecsaphat – és még csak el sem kell hagyniuk a szobájukat ehhez.
