Οι συνεχιζόμενες διακοπές στο British Retail Giant Marks & Spencer προκαλούνται από μια επίθεση ransomware που πιστεύεται ότι διεξάγεται από μια συλλογική hacking που είναι γνωστή ως “διάσπαρτη αράχνη”, ο BleepingComputer έχει μάθει από πολλαπλές πηγές.
Η Marks & Spencer (M & S) είναι ένας βρετανός πολυεθνικός λιανοπωλητής που απασχολεί 64.000 υπαλλήλους και πωλεί διάφορα προϊόντα, συμπεριλαμβανομένων των ενδυμάτων, των τροφίμων και των οικιακών αγαθών σε πάνω από 1.400 καταστήματα παγκοσμίως.
Την περασμένη Τρίτη, η M & S επιβεβαίωσε ότι υπέστη μια cyberattack που προκάλεσε εκτεταμένη διαταραχή, συμπεριλαμβανομένου του συστήματος πληρωμών χωρίς επαφή και της ηλεκτρονικής παραγγελίας. Σήμερα, Αναφέρθηκαν οι Sky News Ότι η διαταραχή συνεχίζεται, με περίπου 200 εργαζόμενους αποθήκης, είπαν να μείνουν στο σπίτι καθώς η εταιρεία ανταποκρίνεται στην επίθεση.
Ο BleepingComputer έχει μάθει τώρα ότι οι συνεχιζόμενες διακοπές προκαλούνται από μια επίθεση ransomware που κρυπτογραφεί τους διακομιστές της εταιρείας.
Οι ηθοποιοί απειλών πιστεύεται ότι έχουν παραβιάσει πρώτα την M & S ήδη από τον Φεβρουάριο, όταν σύμφωνα με πληροφορίες έκλεψαν το αρχείο NTDS.dit του Domain.
Ένα αρχείο NTDS.dit είναι η κύρια βάση δεδομένων για υπηρεσίες Active Directory που εκτελούνται σε έναν ελεγκτή τομέα Windows. Αυτό το αρχείο περιέχει τα hashes κωδικού πρόσβασης για τους λογαριασμούς των Windows, οι οποίοι μπορούν να εξαχθούν από τους ηθοποιούς απειλής και να σπάσουν εκτός σύνδεσης για να αποκτήσουν πρόσβαση σε σχετικούς κωδικούς πρόσβασης απλού κειμένου.
Χρησιμοποιώντας αυτά τα διαπιστευτήρια, ένας ηθοποιός απειλής μπορεί στη συνέχεια να εξαπλωθεί πλευρικά σε όλο τον τομέα των Windows, ενώ κλέβει δεδομένα από συσκευές δικτύου και διακομιστές.
Πηγές ανέφεραν ότι ο BleepingComputer είναι ότι οι ηθοποιοί απειλής τελικά εγκατέστησαν τον αποκρυπτογραφητή Dragonforce στους οικοδεσπότες της VMware ESXI στις 24 Απριλίου για να κρυπτογραφήσουν τις εικονικές μηχανές.
Ο BleepingComputer έχει μάθει ότι ο Marks και ο Spencer ζήτησαν βοήθεια από το Crowdstrike, τη Microsoft και το Fenix24 για να διερευνήσουν και να απαντήσουν στην επίθεση.
Η έρευνα μέχρι στιγμής δείχνει ότι το συλλογικό hacking που είναι γνωστό ως διάσπαρτη αράχνη ή όπως τους καλεί η Microsoft, Octo Tempest, βρίσκεται πίσω από την επίθεση.
Όταν ήρθαν σε επαφή με αυτές τις πληροφορίες, η M & S είπε ότι δεν μπορούσαν να μπουν σε λεπτομέρειες σχετικά με το περιστατικό στον κυβερνοχώρο.
Έχετε πληροφορίες σχετικά με αυτό ή άλλο cyberattack; Εάν θέλετε να μοιραστείτε τις πληροφορίες, μπορείτε να επικοινωνήσετε μαζί μας με ασφάλεια και εμπιστευτικά στο Signal στο Lawrencea.11, μέσω ηλεκτρονικού ταχυδρομείου στο [email protected] ή χρησιμοποιώντας τη φόρμα συμβουλών μας.
Ποιος είναι διάσπαρτος αράχνη;
Διάσπαρτη αράχνη, επίσης γνωστή ως 0ktapus, starfraud, UNC3944Διασκορπίστε τους χοίρους, το Octo Tempest, και Μπερδεμένος Ζυγόςείναι μια ομάδα απειλών που είναι έμπειροι στη χρήση επιθέσεων κοινωνικής μηχανικής, ηλεκτρονικού “ψαρέματος”, βομβαρδισμού με έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) (στοχευμένη κόπωση MFA) και SIM ανταλλαγή για να αποκτήσουν αρχική πρόσβαση στο δίκτυο σε μεγάλους οργανισμούς.
Η ομάδα περιλαμβάνει νεαρά αγγλόφωνα μέλη (έως 16 ετών) με διαφορετικά σύνολα δεξιοτήτων που συχνάζουν τα ίδια φόρουμ χάκερ, κανάλια τηλεγράφων και διακομιστές διαφωνίας. Αυτά τα μέσα χρησιμοποιούνται στη συνέχεια για να σχεδιάσουν και να διεξάγουν επιθέσεις σε πραγματικό χρόνο.
Ορισμένα μέλη πιστεύεται ότι αποτελούν μέρος του “comm” – μια χαλαρή κοινότητα που εμπλέκεται σε βίαιες πράξεις και περιστατικά στον κυβερνοχώρο που έχουν αποκτήσει μεγάλη προσοχή από τα μέσα μαζικής ενημέρωσης.
Ενώ τα μέσα μαζικής ενημέρωσης και οι ερευνητές αναφέρονται συνήθως στη διάσπαρτη αράχνη ως συνεκτική συμμορία, είναι στην πραγματικότητα ένα δίκτυο ατόμων, με διαφορετικούς ηθοποιούς απειλής που συμμετέχουν σε κάθε επίθεση. Αυτή η δομή του υγρού είναι αυτό που δυσκολεύει την παρακολούθηση.
Η ομάδα ξεκίνησε αρχικά σε οικονομικές απάτες και κοινωνικά μέσα μαζικής ενημέρωσης, αλλά αργότερα προχώρησε σε εξαιρετικά εξελιγμένες επιθέσεις κοινωνικής μηχανικής για να κλέψει κρυπτογράφηση από άτομα ή εταιρείες παραβίασης σε επιθέσεις εκβιασμού.
Η ομάδα κλιμάκωσε τις επιθέσεις της τον Σεπτέμβριο του 2023, όταν παραβίαζαν τα θέρετρα MGM χρησιμοποιώντας μια επίθεση κοινωνικής μηχανικής που μιμείται έναν υπάλληλο όταν καλούσε το γραφείο βοήθειας της εταιρείας. Σε αυτή την επίθεση, οι ηθοποιοί απειλών ανέπτυξαν το blackcat ransomware για να κρυπτογραφήσουν περισσότερα από 100 VMware ESXI Hypervisors.
Αυτή ήταν μια κεντρική στιγμή στο τοπίο ransomware, καθώς ήταν η πρώτη γνωστή ένδειξη ότι οι αγγλόφωνοι απειλητικοί ηθοποιοί συνεργάζονταν με ρωσικές συμμορίες ransomware.
Από τότε, η διάσπαρτη αράχνη είναι γνωστό ότι ενεργεί ως θυγατρικές για RansomhubQilin, και τώρα Dragonforce.
Το Dragonforce είναι μια λειτουργία ransomware που ξεκίνησε τον Δεκέμβριο του 2023 και ξεκίνησε πρόσφατα την προώθηση μιας νέας υπηρεσίας όπου επιτρέπουν στις ομάδες εγκλημάτων στον κυβερνοχώρο να ασχοληθούν με τις υπηρεσίες τους.
Οι ερευνητές συνδέουν συνήθως επιθέσεις με τη διάσπαρτη ομάδα αράχνης με βάση συγκεκριμένους δείκτες συμβιβασμού, συμπεριλαμβανομένων επιθέσεων ηλεκτρονικού ψαρέματος που κυμαίνονται από διαπιστευτήρια που στοχεύουν σε πλατφόρμες SSO, επιθέσεις κοινωνικής μηχανικής που την προσφεύγουν βοηθούν την επιφάνεια εργασίας και άλλες τακτικές.
Εταιρεία Cybersecurity Silent Push κυκλοφόρησε μια αναφορά Νωρίτερα αυτό το μήνα περιγράφει τις πιο πρόσφατες επιθέσεις του Phishing του Spider.
Τα τελευταία δύο χρόνια, η επιβολή του νόμου στοχεύει όλο και περισσότερο στην ομάδα, συλλαμβάνοντας πολλαπλά υποτιθέμενα μέλη στις ΗΠΑ, το Ηνωμένο Βασίλειο και την Ισπανία.
VIA: bleepingcomputer.com
