Los ataques cibernéticos de abril de 2025 dirigidos a los minoristas del Reino Unido Marks & Spencer y la cooperativa se han clasificado como un «evento cibernético combinado único».
Eso es de acuerdo con una evaluación del Centro de Monitoreo Cibernético (CMC), un organismo sin fines de lucro independiente sin fines de lucro con sede en el Reino Unido creado por la industria de seguros para clasificar los principales eventos cibernéticos.
«Dado que un actor de amenaza se atribuyó la responsabilidad de M&S y Co-op, el momento cercano y las tácticas, técnicas y procedimientos similares (TTP), CMC ha evaluado los incidentes como un solo evento cibernético combinado», dijo el CMC.
La organización ha categorizado la interrupción de los minoristas como un «evento sistémico de categoría 2». Se estima que las violaciones de seguridad tendrán un impacto financiero total de £ 270 millones ($ 363 millones) a £ 440 millones ($ 592 millones).
Sin embargo, el ataque cibernético a Harrods al mismo tiempo no se ha incluido en esta etapa, citando una falta de información adecuada sobre la causa y el impacto.
El vector de acceso inicial empleado en los ataques dirigidos a Marks & Spencer y cooperativa giró en torno al uso de tácticas de ingeniería social, particularmente dirigidos a los escritorios de ayuda.
El CMC señaló además que sus esfuerzos de atribución aún están en curso. Dicho esto, se cree que el notorio grupo de delitos cibernéticos conocido como araña dispersa (también conocida como UNC3944) está detrás de las intrusiones.
El grupo, una rama de la comunidad de delitos cibernéticos más grandes conocidos como COM, tiene un historial de aprovechar a sus miembros de habla inglesa para llevar a cabo ataques avanzados de ingeniería social donde se hacen pasar por miembros del departamento de TI de una empresa para obtener un acceso no autorizado.
«El impacto de este evento es ‘estrecho y profundo’, que tiene implicaciones significativas para dos empresas y efectos de golpe para proveedores, socios y proveedores de servicios», dijo el CMC.
A principios de esta semana, Google Threat Intelligence Group (GTIG) reveló que los actores de araña dispersos han comenzado a dirigirse a las principales compañías de seguros en los Estados Unidos.
«Dada la historia de este actor de centrarse en un sector a la vez, la industria de seguros debe estar en alerta máxima, especialmente para los esquemas de ingeniería social que se dirigen a sus escritorios de ayuda y centros de llamadas», dijo John Hultquist, analista jefe de GTIG.
«La amenaza anticipada de la capacidad cibernética iraní para las organizaciones estadounidenses ha sido el foco de muchas discusiones últimamente, pero estos actores ya están apuntando a una infraestructura crítica. Esperamos más incidentes de alto perfil en el corto plazo a medida que avanzan del sector al sector».
El desarrollo se produce cuando los Servicios de Consultoría de la Consultoría de India Tata (TCS) revelaron que sus sistemas o usuarios no se vieron comprometidos como parte del ataque contra Marks & Spencer. El mes pasado, el Financial Times informó que TCS está investigando internamente si sus sistemas se usaron como una plataforma de lanzamiento para el ataque.
También sigue una nueva estrategia de la operación de ransomware de Qilin que implica ofrecer asistencia legal para aumentar la presión durante las negociaciones de rescate. Los actores de amenaza también afirman tener un equipo interno de periodistas que pueden trabajar junto con el departamento legal para crear publicaciones de blog y ayudar con las negociaciones de las víctimas.