Os criminosos disseram ao chefe da varejista que ele poderia tornar as coisas "rápidas e fáceis" se cumprisse suas exigências.
Bloomberg via Getty Images
Os hackers da Marks & Spencer enviaram um e-mail cheio de abusos diretamente ao chefe da varejista, zombando do que haviam feito e exigindo pagamento, segundo apurou a BBC News.
A mensagem ao CEO da M&S, Stuart Machin - que estava em inglês ruim - foi enviada em 23 de abril pelo grupo de hackers DragonForce usando uma conta de e-mail de funcionário.
O e-mail confirma pela primeira vez que a M&S foi hackeada pelo grupo de ransomware - algo que a M&S se recusou até agora a reconhecer.
"Marchamos os caminhos da China até o Reino Unido e estupramos impiedosamente sua empresa e criptografamos todos os servidores", escreveram os hackers.
"O dragão quer falar com você, então, por favor, vá para [nosso site da darknet]."
O ataque cibernético foi extremamente prejudicial para a M&S, custando à empresa cerca de 300 milhões de libras. Mais de seis semanas depois, a empresa ainda não consegue receber pedidos online
O e-mail de extorsão foi mostrado à BBC por um perito em segurança cibernética.
A mensagem, incluindo um termo racista, foi enviada ao CEO da M&S e a outros sete executivos.
Além de se gabarem de instalar ransomware em todo o sistema de TI da M&S para torná-lo inútil, os hackers afirmam ter roubado dados privados de milhões de clientes.
Quase três semanas depois, a empresa informou aos clientes que seus dados podem ter sido roubados.
O e-mail foi enviado aparentemente usando a conta de um funcionário da gigante indiana de TI Tata Consultancy Services (TCS), que presta serviços de TI à M&S há mais de uma década.
O funcionário de TI indiano, baseado em Londres, possui um endereço de e-mail da M&S, mas é um funcionário pago da TCS.
Parece que ele mesmo foi hackeado no ataque.
A TCS disse anteriormente que está investigando se foi a porta de entrada para o ataque cibernético.
A empresa disse à BBC que o e-mail não foi enviado de seu sistema e que não tem nada a ver com a violação na M&S.
A M&S se recusou a comentar totalmente.
Um link da darknet compartilhado no e-mail de extorsão conecta-se a um portal para que as vítimas do DragonForce iniciem a negociação da taxa de resgate. Esta é uma indicação adicional de que o e-mail é autântico.
Compartilhando o link escreveram os hackers: "vamos começar a festa. Envie-nos uma mensagem, vamos tornar isso rápido e fácil para nós".
Os criminosos também parecem ter detalhes sobre a apólice de seguro cibernético da empresa, dizendo "sabemos que ambos podemos nos ajudar generosamente : ))".
O CEO da M&S se recusou a dizer se a empresa pagou resgate aos hackers.
DragonForce encerrou o e-mail com uma imagem de um dragão soltando fogo.
O e-mail confirma pela primeira vez a ligação entre o hack da M&S e o ataque cibernético Co-op quase simultâneo, pelo qual o DragonForce também reivindicou responsabilidade.
Os dois ataques - que começaram no final de abril - causaram estragos nas duas varejistas. Algumas prateleiras da Co-op ficaram vazias por semanas, enquanto a M&S espera que suas operações sejam interrompidas até julho.
Embora agora saibamos que o DragonForce está por trás de ambos, ainda não está claro quem são os verdadeiros hackers.
DragonForce oferece a afiliados de cibercriminosos vários serviços em seu site da darknet em troca de uma parte de 20% de quaisquer resgates coletados.
Qualquer pessoa pode se inscrever e usar seu software malicioso para embaralhar os dados da vítima ou usar seu site da darknet para sua extorsão pública.
Nada apareceu no site de vazamento da darknet dos criminosos sobre Co-op ou M&S, mas os hackers disseram à BBC na semana passada que estavam tendo seus próprios problemas de TI e que postariam informações "muito em breve".
Alguns pesquisadores dizem que o DragonForce está baseado na Malásia, enquanto outros dizem que está na Rússia. Seu e-mail para a M&S implica que eles são da China.
A especulação tem aumentado de que um coletivo frouxo de jovens hackers ocidentais conhecidos como Scattered Spider pode ser os afiliados por trás dos hacks e também um na Harrods.
Scattered Spider não é realmente um grupo no sentido normal da palavra. É mais uma comunidade que se organiza em sites como Discord, Telegram e fóruns - daí a descrição "espalhada" que lhes foi dada por pesquisadores de segurança cibernética da CrowdStrike.
Alguns hackers do Scattered Spider são conhecidos por serem adolescentes nos EUA e no Reino Unido.
A Agência Nacional de Crimes do Reino Unido disse em um documentário da BBC sobre os ataques ao varejo que estão concentrando as investigações no grupo.
A BBC conversou com os hackers da Co-op que se recusaram a responder se eram ou não o Scattered Spider. "Não responderemos a essa pergunta" é tudo o que eles disseram.
Dois deles disseram que queriam ser conhecidos como "Raymond Reddington" e "Dembe Zuma", em homenagem aos personagens do suspense policial americano The Blacklist, que envolve um criminoso procurado ajudando a policia a derrubar outros criminosos em uma lista negra.
Em uma mensagem para mim, eles se gabaram: "Estamos colocando varejistas do Reino Unido na Lista Negra".
Tem havido uma série de ataques cibernéticos menores contra varejistas do Reino Unido desde então, mas nenhum tão impactante e disruptivo quanto os da Co-op, M&S e Harrods.
