英国零售巨头M&S遭Scattered Spider勒索攻击，DragonForce加密虚拟机

攻击事件概述

2025年5月，英国老牌零售商玛莎百货（Marks & Spencer, M&S）遭受了一场严重的网络攻击，这次攻击被归因于臭名昭著的Scattered Spider黑客组织。攻击者使用了DragonForce勒索软件，不仅加密了M&S的虚拟机环境，还窃取了大量客户数据，导致其在线零售系统严重中断，造成数百万英镑的损失。

Scattered Spider组织背景

Scattered Spider（也被称为0ktapus、Scatter Swine或Muddled Libra）是一个以社交工程攻击著称的网络犯罪集团。与其他勒索软件团伙不同，Scattered Spider更擅长：

• 社交工程：通过欺骗IT帮助台重置密码
• SIM卡交换：劫持目标手机号接收双因素认证码
• 入侵企业通信工具：如Microsoft Teams、Slack等
• 多因素认证绕过：利用钓鱼和会话劫持技术

该组织被认为与多个高调攻击有关，包括2023年拉斯维加斯赌场巨头的攻击事件，以及2024年多家医疗机构的入侵。

DragonForce勒索软件分析

此次攻击使用的DragonForce是一种相对较新的勒索软件变种。它具有以下特征：

1. 虚拟化环境针对性：专门设计用于加密虚拟机文件（如VMDK、VHDX），这使得恢复更加困难
2. 数据窃取优先：在加密前会先提取敏感数据，用于双重勒索
3. 自动化传播：能够在vCenter环境中自动横向移动，感染大量虚拟机
4. 逃避技术：使用合法的管理工具（如PsExec）进行分发，降低被检测的几率

M&S事件时间线

根据公开报道，攻击演进如下：

• 第1周：攻击者通过社交工程获取初始访问权限
• 第2周：进行网络侦察，识别高价值目标（客户数据库、支付系统）
• 第3周：部署DragonForce勒索软件，同时开始数据窃取
• 第4周：大规模加密虚拟机，系统中断公开显现
• 后续：M&S拒绝支付赎金，开始漫长的恢复过程

影响评估

这次攻击造成了多方面的严重破坏：

运营层面：

• 在线商店被迫关闭数周
• 库存管理系统瘫痪
• 供应链协调严重受阻

财务层面：

• 直接收入损失估计超过5000万英镑
• 系统恢复和安全加固成本
• 潜在的监管罚款（GDPR违反）

声誉层面：

• 客户信任严重受损
• 股价短期内显著下跌
• 可能面临集体诉讼

防御建议

M&S事件为零售业敲响了警钟。针对类似攻击，企业应采取以下防御措施：

针对社交工程：

• 实施严格的帮助台验证流程
• 对员工进行持续的钓鱼防范培训
• 部署防钓鱼技术（如DMARC邮件认证）
• 限制管理员权限的分配

针对勒索软件：

• 实施3-2-1备份策略（3份备份，2种介质，1份异地）
• 隔离备份系统，防止被加密
• 定期进行勒索软件桌面演练
• 部署端点检测响应（EDR）解决方案

IT体系结构：

• 网络微分段，限制横向移动
• 实施零信任安全模型
• 虚拟化环境专用监控
• 特权访问管理（PAM）解决方案

结语

M&S攻击展示了现代网络犯罪的高度组织化和专业化。Scattered Spider+DragonForce的组合代表了当前威胁演化的趋势：社交工程作为切入点，永久性访问作为目标，双重勒索作为施压手段。零售业作为持有大量客户支付信息的高价值目标，必须将网络安全视为核心战略问题。