Rançongiciel DragonForce chez Marks & Spencer (Scattered Spider, 2025)

L'ingénierie sociale d'un service d'assistance tiers a permis à Scattered Spider d'obtenir un compte administrateur de domaine, utilisé pour déployer le rançongiciel DragonForce sur le parc VMware ESXi de M&S pendant le week-end de Pâques 2025 — paralysant les paiements sans contact, le Click & Collect et les commandes en ligne pendant plus de six semaines.

En avril 2025, Marks & Spencer — l'un des plus grands distributeurs du Royaume-Uni — a été paralysé par une attaque par rançongiciel qui a fait le pont entre deux des groupes d'extorsion anglophones les plus prolifiques : Scattered Spider pour l'intrusion initiale, DragonForce pour la charge de chiffrement. La perturbation a défini le récit cyber de la distribution britannique en 2025 et constitue désormais un cas de référence pour l'ingénierie sociale des services d'assistance.

Ce qui s'est passé

Les attaquants ont compromis M&S dès février 2025 en se faisant passer pour un employé lors d'un appel à un service d'assistance tiers qui a alors effectué une réinitialisation de mot de passe à leur profit. À partir de ce point d'ancrage, ils ont obtenu des privilèges d'administrateur de domaine et exfiltré le fichier Active Directory NTDS.dit (qui contient les empreintes de chaque compte du domaine).

La perturbation est devenue visible pour les clients pendant le week-end de Pâques, du 19 au 21 avril 2025, lorsque les paiements sans contact et le Click & Collect ont commencé à tomber en panne en magasin. Le 24 avril, les opérateurs ont déployé le rançongiciel DragonForce contre les hôtes VMware ESXi de M&S, chiffrant les machines virtuelles qui faisaient tourner l'e-commerce, le traitement des paiements et la logistique. L'entreprise a suspendu les commandes en ligne le lendemain ; le site web n'est pas pleinement revenu avant plus de six semaines.

Le PDG de M&S, Stuart Machin, a reçu un message narquois de DragonForce envoyé depuis un compte interne d'employé M&S, confirmant à la fois l'attribution et la profondeur de l'accès.

Impact

Commandes en ligne hors ligne pendant ~46 jours (du 25 avril au 10 juin 2025).
Impact annuel estimé sur le bénéfice : 300 millions de livres ; impact économique total estimé par le UK Cyber Monitoring Centre à 270–440 millions de livres (350–550 M$) pour la campagne combinée M&S / Co-op / Harrods.
Le vol des empreintes Active Directory implique que chaque identifiant de domaine M&S devait être considéré comme compromis et renouvelé.
Quatre arrestations par la National Crime Agency britannique en juillet 2025, dont un adolescent de 17 ans, liées à la campagne contre les distributeurs britanniques.

Pourquoi c'est important

L'intrusion n'a pas nécessité de faille zero-day ni d'implant sophistiqué — elle a nécessité un appel téléphonique à un service d'assistance et la volonté de lire un script. Le maillon faible était un prestataire de support tiers ayant l'autorité de réinitialiser les mots de passe de comptes à privilèges. La vérification d'identité au service d'assistance figure désormais en tête de l'agenda de chaque RSSI de la distribution britannique.

Chronologie

1 février 2025

Les attaquants obtiennent un accès initial au réseau de M&S et exfiltrent le fichier Active Directory NTDS.dit après avoir obtenu par ingénierie sociale une réinitialisation de mot de passe auprès d'un service d'assistance tiers.

19 avril 2025

Week-end de Pâques : les paiements sans contact en magasin et les retraits Click & Collect commencent à échouer dans tout le Royaume-Uni.

24 avril 2025

Le rançongiciel DragonForce est déclenché contre les hôtes VMware ESXi de M&S, chiffrant les machines virtuelles qui font tourner l'e-commerce, les paiements et la logistique.

25 avril 2025

M&S suspend les achats en ligne via son site web et son application mobile.

21 mai 2025

M&S remet son site web en ligne en mode lecture seule.

10 juin 2025

Reprise limitée des commandes de vêtements en ligne après 46 jours d'interruption.

1 juillet 2025

La National Crime Agency britannique arrête quatre personnes, dont un adolescent de 17 ans, en lien avec les attaques contre M&S, Co-op et Harrods.

Sources

blackfog.comhttps://www.blackfog.com/marks-and-spencer-ransomware-attack/

thehackernews.comhttps://thehackernews.com/2025/07/four-arrested-in-440m-cyber-attack-on.html

picussecurity.comhttps://www.picussecurity.com/resource/blog/dragonforce-ransomware-attacks-retail-giants

specopssoft.comhttps://specopssoft.com/blog/marks-spencer-ransomware-active-directory/

Incidents liés

RançongicielContenu10 septembre 2023

Rançongiciel MGM Resorts (Scattered Spider + ALPHV)

Scattered Spider a vishé un agent du helpdesk IT de MGM, obtenu les droits admin Okta, puis laissé ALPHV déclencher un rançongiciel. Les casinos sont restés hors-ligne dix jours ; pertes pour MGM > 100 M$.

Victim: MGM Resorts International
Loss: $100.0M

RançongicielRançon payée18 août 2023

Paiement de rançon Scattered Spider chez Caesars Entertainment (2023)

Scattered Spider s'est fait passer pour un employé de Caesars lors d'un appel à un prestataire tiers de support informatique et a convaincu le prestataire d'accorder des identifiants Okta, puis a exfiltré des données de fidélité clients dont des numéros de sécurité sociale et des permis de conduire. Caesars a payé environ 15 millions de dollars de rançon ; le FBI a ensuite gelé une part substantielle des fonds avec l'aide de Chainalysis.

Victim: Caesars Entertainment
Loss: $15.0M

RançongicielContenu29 septembre 2025

Rançongiciel Qilin chez Asahi Group Holdings (2025)

Les opérateurs du rançongiciel Qilin ont chiffré des serveurs dans les centres de données japonais d'Asahi, paralysant les commandes, les expéditions et la production dans 30 usines, exfiltrant 27 Go de données internes et exposant les informations personnelles d'environ 1,5 million de clients, employés et contacts.

Victim: Asahi Group Holdings
Loss: $31.4M
Records: 1.5M

RançongicielContenu31 août 2025

Arrêt mondial de production chez Jaguar Land Rover (Scattered Lapsus$ Hunters, 2025)

Une cyberattaque contre le plus grand constructeur automobile britannique a contraint JLR à couper son réseau informatique mondial et a interrompu la production de véhicules au Royaume-Uni, en Chine, en Slovaquie, en Inde et au Brésil pendant cinq semaines — désormais considérée comme l'incident cyber le plus économiquement dommageable de l'histoire du Royaume-Uni.

Victim: Jaguar Land Rover
Loss: $2.40B