Op Paasmaandag 2025 werd Britse winkelketen Marks & Spencer (M&S) getroffen door een grootschalige ransomware-aanval. Nog altijd is het bedrijf in “rebuild mode”; dat zal ook nog lang zo zijn. M&S wil niet zeggen of de retailer het geëiste losgeld betaalde. Wat is het meest waarschijnlijke scenario en maakt het überhaupt uit?
Voor het eerst sinds de desastreuze ransomware-aanval zoekt Marks & Spencer de publiciteit. Bij monde van voorzitter Archie Norman stelt het bedrijf dat het werd gecompromitteerd door een “verfijnde imitatie”. Hoewel het incident op Paasmaandag (21 april) plaatsvond, slaagde DragonForce erin om de IT-systemen van M&S te infiltreren op 17 april. Wat volgde was een mengelmoes van snelheid en stroperigheid: terwijl alle inlichtingendiensten (inclusief de FBI) snel werden geïnformeerd, kenden de gevolgen een enorm lange nasleep. Zelfs ruim een maand na het incident bezorgde M&S geen bestellingen aan Noord-Ierland door de hack. Uiteindelijk lag de online winkel er zeven weken uit.
Lippen stevig op elkaar
De publieke vertoning van Norman is een ietwat vreemde. Aan de ene kant poneerde hij de vraag aan de Britse Business and Trade Committee hoe een bedrijf moet omgaan met een eis voor losgeld in ruil voor een ransomware-decryptor. Aan de andere kant wilde hij niet prijsgeven of M&S de aanvallers van DragonForce betaalde. Indien succesvol kan een organisatie tegen betaling weer verlost zijn van alle problemen: de data die door de malafide software is versleuteld, is weer beschikbaar, terwijl er geen gevoelige gegevens worden gepubliceerd via een leak site.
Er is geen data van Marks & Spencer op de leak site van DragonForce beland. Dat hoeft niet te suggereren dat er daadwerkelijk voor de ontsleuteling van bestanden betaald is, hoewel er de optie bestaat dat de keten wel garanties ontving dat er geen gegevens online zouden verschijnen. Dit is giswerk, maar met de informatie die we hebben is er geen indicatie dat DragonForce dit drukmiddel nog gaat inzetten.
Voorzitter Norman stelt dat de interactie met DragonForce een zaak is voor de politie. De Britse National Crime Agency is volgens hem volledig geïnformeerd over de kwestie. Het enige dat hij wel vertelde, is het volgende:
“De vraag die je moet stellen – en ik denk dat alle bedrijven dat zouden moeten doen – is, als ze kijken naar de vraag, wat krijgen ze ervoor? Want als je systemen eenmaal gecompromitteerd zijn en je moet ze toch opnieuw opbouwen, dan hebben ze misschien geëxfiltreerde gegevens die je niet wilt publiceren. Misschien is er iets, maar in ons geval was de schade al grotendeels aangericht.” Kortom: M&S had ongeacht het betalen van losgeld al enorm veel last van de aanval. Zo klinkt het in ieder geval, maar het is duidelijk dat er geen disruptie is voorkomen als het bedrijf wel het ransomware-losgeld had betaald.
Eisen voor anderen
Opvallend is dat de Marks & Spencer-voorzitter het niet hierbij houdt. Hij is ook van mening dat organisaties die zijn getroffen door een cyberaanval, dit moeten rapporteren. Zo zijn er volgens Norman twee grote Britse bedrijven geweest die in de afgelopen maanden een grote hack hadden ervaren, maar dit niet kenbaar hadden gemaakt aan de buitenwereld. Het is duidelijk: als M&S publiekelijk door het stof moet gaan, dan anderen ook.
Toch blijft de belangrijkste vraag onbeantwoord: had M&S betaald voor de ontsleuteling van haar systemen? Dit is interessanter dan het feit dat een groot bedrijf gehackt kan worden of dat de gevolgen groot kunnen zijn. Dat weten we. Maar nu blijft het (wellicht op basis van juridisch advies) onbekend welke lessen M&S heeft getrokken als het gaat om het wel of niet betalen van losgeld.
We gaan er op basis van de huidige informatie vanuit dat men dit níét heeft gedaan. Waarom? De uitval is allereerst significant geweest, dat erop wijst dat systemen volledig moesten worden herstart of zelfs opnieuw moesten worden ingericht. Ten tweede wijzen de citaten van Norman erop dat er hooguit betaald is voor het geheimhouden van gevoelige (klanten)data, iets dat wellicht grotere kosten door schadeclaims of boetes heeft voorkomen.
Een tegenargument: Brits parlementslid David Davis hintte ernaar dat M&S juist wel heeft betaald. Een niet nader te noemen bedrijf van Britse komaf zou “een zeer groot bedrag” aan chanteurs hebben overgemaakt. Dit kan gaan om een betaling ter veiligstelling van de gevoelige data en niet voor een decryptor. Als men daar wel voor heeft betaald, is het waarschijnlijk dat deze niet werkte of onvoldoende hulp bood om de herstelwerkzaamheden te voorkomen. Hoe dan ook is de les dat het betalen van ransomware niet alleen onbetrouwbaar is of op zijn minst discutabel, maar dat ook de communicatie erover nog steeds veel te onduidelijk en onbehulpzaam is.
Lees ook: Wat er te leren valt van de cyberaanval op Marks & Spencer