Os criminosos disseram ao chefe da varejista que ele poderia tornar as coisas "rápidas e fáceis" se cumprisse suas exigências.
Bloomberg via Getty Images
Os hackers da Marks & Spencer enviaram um e-mail cheio de abusos diretamente ao chefe da varejista, vangloriando-se do que haviam feito e exigindo pagamento, soube a BBC News.
A mensagem para o CEO da M&S, Stuart Machin - que estava em inglês precário - foi enviada em 23 de abril pelo grupo de hackers DragonForce usando uma conta de e-mail de funcionário.
O e-mail confirma pela primeira vez que a M&S foi hackeada pelo grupo de ransomware - algo que a M&S até agora se recusou a reconhecer.
"Marchamos os caminhos da China até o Reino Unido e estupramos impiedosamente sua empresa e criptografamos todos os servidores", escreveram os hackers.
"O dragão quer falar com você, então vá para [nosso site da darknet]."
O ataque cibernético tem sido extremamente prejudicial para a M&S, custando-lhe cerca de £ 300 milhões. Mais de seis semanas depois, ainda não consegue receber pedidos online
O e-mail de extorsão foi mostrado à BBC por um especialista em segurança cibernética.
A mensagem, que inclui um termo racista, foi enviada ao CEO da M&S e a outros sete executivos.
Além de se gabar de instalar ransomware em todo o sistema de TI da M&S para torná-lo inútil, os hackers dizem que roubaram os dados privados de milhões de clientes.
Quase três semanas depois, os clientes foram informados pela empresa que seus dados podem ter sido roubados.
O e-mail foi aparentemente enviado usando a conta de um funcionário da gigante indiana de TI Tata Consultancy Services (TCS) - que fornece serviços de TI à M&S há mais de uma década.
O funcionário indiano de TI baseado em Londres tem um endereço de e-mail da M&S, mas é um funcionário pago pela TCS.
Parece que ele próprio foi hackeado no ataque.
A TCS disse anteriormente que está investigando se foi a porta de entrada para o ataque cibernético.
A empresa disse à BBC que o e-mail não foi enviado de seu sistema e que não tem nada a ver com a violação na M&S.
A M&S se recusou a comentar totalmente.
'Nós podemos nos ajudar'
Um link da darknet compartilhado no e-mail de extorsão se conecta a um portal para as vítimas da DragonForce iniciarem a negociação da taxa de resgate. Esta é outra indicação de que o e-mail é autêntico.
Compartilhando o link - os hackers escreveram: "vamos começar a festa. Mande-nos uma mensagem, vamos tornar isso rápido e fácil para nós."
Os criminosos também parecem ter detalhes sobre a apólice de seguro cibernético da empresa, dizendo "sabemos que podemos nos ajudar generosamente : ))".
O CEO da M&S se recusou a dizer se a empresa pagou um resgate aos hackers.
DragonForce encerrou o e-mail com uma imagem de um dragão soltando fogo.
