M&S cree que finalmente ha descubierto la causa del ciberataque.

M&S, mediante su presidente Archie Norman, ha relacionado un reciente ataque de ransomware con el grupo DragonForce. Aunque la empresa aún no ha hecho público si se pagó un rescate, se han confirmado ciertos detalles sobre la naturaleza del ataque, el cual se sospecha que fue orquestado por una operación de ransomware con base en Asia o Rusia. Este grupo opera de manera independiente en comparación con los hacktivistas que trabajan bajo el mismo nombre en Malasia.

Norman ha subrayado que discutir los detalles del posible rescate no sería de interés público, dadas las investigaciones que actualmente se están llevando a cabo por parte de las autoridades. Durante una comparecencia ante el parlamento del Reino Unido sobre ciberataques en el sector minorista, enfatizó: "No vamos a abordar los detalles de nuestra interacción con el actor de la amenaza".

La brecha inicial en la seguridad ocurrió a través de ingeniería social, donde el atacante se hizo pasar por un empleado de M&S para engañar a un tercero y así lograr el restablecimiento de la contraseña de un trabajador. Un informe posterior reveló que Tata Consultancy Services, un proveedor de servicios de soporte para M&S, podría haber estado involucrado inadvertidamente en esta brecha.

Los atacantes no solo expresaron su intención de filtrar la información adquirida, sino que también la cifraron, aplicando lo que se conoce como un ataque de doble extorsión. M&S confirmó que se vieron comprometidos datos sensibles, como nombres, fechas de nacimiento, direcciones, números de teléfono, información sobre el hogar e historiales de pedidos. Se estima que se sustrajeron 150 GB de información antes de que la compañía desactivara sus sistemas para evitar una mayor propagación, lo que generó retrasos en las entregas. Las labores de recuperación continúan, y Norman espera que se complete completamente entre octubre y noviembre de 2025.

Interesantemente, DragonForce no ha publicado los datos de M&S, lo que podría indicar que se ha pagado un rescate o que las negociaciones siguen en curso. Mirando hacia el futuro, Norman ha hecho un llamado por más transparencia en la comunicación sobre ciberataques, afirmando que considera que ha habido al menos dos ataques significativos a grandes empresas británicas en los últimos cuatro meses que no han sido reportados.