Els ciberatacs d’abril de 2025 que van tenir com a objectiu els detallistes del Regne Unit Marks & Spencer i Co-op han estat classificats com un «esdeveniment cibernètic combinat únic.»

Això és segons una avaluació del Cyber ​​Monitoring Center (CMC), un organisme independent i sense ànim de lucre amb seu al Regne Unit creat per la indústria d’assegurances per categoritzar els principals esdeveniments cibernètics.

«Tenint en compte que un actor d’amenaça va reivindicar la responsabilitat tant de M&S com de Co-op, el temps ajustat i les tàctiques, tècniques i procediments (TTP) similars, CMC ha avaluat els incidents com un únic esdeveniment cibernètic combinat», va dir el CMC.

L’organització ha classificat la interrupció dels detallistes com un «esdeveniment sistèmic de categoria 2». S’estima que les infraccions de seguretat tindran un impacte financer total de 270 milions de lliures (363 milions de dòlars) a 440 milions de lliures (592 milions de dòlars).

No obstant això, el ciberatac a Harrods gairebé al mateix temps no s’ha inclòs en aquesta fase, citant la manca d’informació adequada sobre la causa i l’impacte.

El vector d’accés inicial emprat en els atacs dirigits a Marks & Spencer i Co-op va girar al voltant de l’ús de tàctiques d’enginyeria social, especialment dirigides als taulells d’ajuda informàtica.

A més, el CMC va assenyalar que els seus esforços per atribuir l’autoria encara continuen. Dit això, es creu que el famós grup de ciberdelinqüència conegut com  a Scattered Spider (també conegut com a UNC3944) està darrere de les intrusions.

El grup, una branca de la comunitat de ciberdelinqüència més gran coneguda com The Com, té en el seu historial el fet d’aprofitar els seus membres de parla anglesa per dur a terme atacs avançats d’enginyeria social on suplanten membres del departament de TI d’una empresa per obtenir accés no autoritzat.

«L’impacte d’aquest esdeveniment és ‘estret i profund’, amb implicacions importants per a dues empreses i efectes secundaris per a proveïdors, socis i proveïdors de serveis», va dir el CMC.

A principis d’aquesta setmana, Google Threat Intelligence Group (GTIG) ha revelat que els actors de Scattered Spider han començat a atacar les principals companyies d’assegurances dels Estats Units.

«Tenint en compte la història d’aquest actor de centrar-se en un sector alhora, el sector de les assegurances hauria d’estar en alerta màxima, especialment per als esquemes d’enginyeria social que es dirigeixen als seus taulells d’ajuda i centres de trucades», va dir John Hultquist, analista en cap de GTIG. 

«L’amenaça prevista de Capacitat cibernètica iraniana contra les organitzacions dels EUA ha estat el focus de moltes discussions últimament, però aquests actors ja s’apunten a les infraestructures crítiques. Esperem més incidents de perfil alt a curt termini a mesura que es mouen d’un sector a un altre.»

El desenvolupament arriba quan el gegant de consultoria indi Tata Consultancy Services (TCS) ha divulgat que els seus sistemes o usuaris no es veiessin compromesos com a part de l’atac contra Marks & Spencer. El mes passat, el Financial Times va informar que és TCS està comprovant internament si els seus sistemes es van utilitzar com a plataforma de llançament per a l’atac.

També segueix una nova estratègia de l’operació de programari de segrest Qilin que implica oferir assistència legal per augmentar la pressió durant les negociacions de rescat. Els actors d’amenaça també afirmen tenir un equip intern de periodistes que poden treballar conjuntament amb el departament legal per elaborar publicacions de bloc i ajudar amb les negociacions de les víctimes.