Το cyberattack Co-op είναι πολύ χειρότερο από ό, τι αναφέρθηκε αρχικά, με την εταιρεία να επιβεβαιώνει τώρα ότι τα δεδομένα είχαν κλαπεί για σημαντικό αριθμό σημερινών και προηγούμενων πελατών.
“Ως αποτέλεσμα των συνεχιζόμενων εγκληματολογικών ερευνών, γνωρίζουμε τώρα ότι οι χάκερ ήταν σε θέση να έχουν πρόσβαση και να εξαγάγουν δεδομένα από ένα από τα συστήματά μας”, δήλωσε ο Co-op στο BleePingComputer.
“Τα δεδομένα που έχουν πρόσβαση περιελάμβαναν πληροφορίες σχετικά με ένα σημαντικό αριθμό των σημερινών και προηγούμενων μελών μας.”
“Αυτά τα δεδομένα περιλαμβάνουν τα προσωπικά δεδομένα των μελών της ομάδας co-op, όπως ονόματα και στοιχεία επικοινωνίας και δεν συμπεριέλαβαν τους κωδικούς πρόσβασης των μελών, τα στοιχεία της τράπεζας ή της πιστωτικής κάρτας, τις συναλλαγές ή τις πληροφορίες σχετικά με τα προϊόντα ή τις υπηρεσίες των πελατών ή των πελατών με την ομάδα Co-op”.
Την Τετάρτη, ο γίγαντας λιανικής πώλησης του Ηνωμένου Βασιλείου υποβαθμίζει το Cyberattack, δηλώνοντας ότι είχε κλείσει τμήματα των συστημάτων πληροφορικής του μετά την ανίχνευση μιας απόπειρας εισβολής στο δίκτυό της.
Ωστόσο, σύντομα μετά την έσπασή των ειδήσεων, ο Bleeptomcomputer έμαθε ότι η εταιρεία υπέφερε πράγματι μια παραβίαση που χρησιμοποιώντας τακτικές που σχετίζονται με διάσπαρτα αράχνη/Octo, αλλά οι άμυνες τους εμπόδισαν τους ηθοποιούς απειλής να εκτελούν σημαντικές ζημιές στο δίκτυο.
Πηγές ανέφεραν ότι ο BleepingComputer είναι ότι πιστεύεται ότι η επίθεση συνέβη στις 22 Απριλίου, με τους ηθοποιούς απειλής να χρησιμοποιούν τακτικές παρόμοιες με την επίθεση σε Marks και Spencer. Οι ηθοποιοί απειλών διενήργησαν μια επίθεση κοινωνικής μηχανικής που τους επέτρεψε να επαναφέρουν τον κωδικό πρόσβασης ενός υπαλλήλου, ο οποίος στη συνέχεια χρησιμοποιήθηκε για να παραβιάσει το δίκτυο.
Μόλις αποκτήσουν πρόσβαση στο δίκτυο, έκλεψαν το αρχείο Windows NTDS.dit, μια βάση δεδομένων για τις υπηρεσίες Windows Active Directory που περιέχει hashes κωδικού πρόσβασης για τους λογαριασμούς των Windows.
Το Co-op βρίσκεται τώρα στη διαδικασία ανοικοδόμησης όλων των ελεγκτών τομέα των Windows και της Entra ID με τη βοήθεια του Microsoft Dart. Η KPMG βοηθά στην υποστήριξη AWS.
Όταν μοιράζουμε αυτές τις λεπτομέρειες με το co-op χθες, η εταιρεία δήλωσε ότι δεν είχε τίποτα περισσότερο να μοιραστεί και να μας έστειλε την αρχική της δήλωση.
Dragonforce ransomware πίσω από την επίθεση
Σήμερα, το Το BBC ανέφερε για πρώτη φορά ότι οι θυγατρικές για τη λειτουργία Dragonforce Ransomware, οι ίδιοι χάκερ που παραβίασαν την M & S, είναι επίσης πίσω από την επίθεση στο co-op.
Ο ανταποκριτής του BBC Joe Tidy μίλησε στον χειριστή Dragonforce, ο οποίος επιβεβαίωσε ότι ήταν πίσω από την επίθεση και μοιράστηκαν δείγματα εταιρικών δεδομένων και πελατών που κλέφθηκαν κατά τη διάρκεια της επίθεσης. Οι ηθοποιοί απειλών ισχυρίζονται ότι έχουν δεδομένα από 20 εκατομμύρια άτομα που έχουν εγγραφεί στο πρόγραμμα ανταμοιβής μέλους της Co-op.
Οι ηθοποιοί απειλών δήλωσαν ότι έρχονται σε επαφή με τον επικεφαλής της Co-op επικεφαλής της Cyber Security και άλλων στελεχών χρησιμοποιώντας μηνύματα της Microsoft Teams, μοιράζοντας στιγμιότυπα οθόνης των μηνυμάτων εκβιασμού με το BBC.
Μετά την επίθεση, ο Co-op έστειλε ένα εσωτερικό μήνυμα ηλεκτρονικού ταχυδρομείου στους υπαλλήλους που τους προειδοποίησαν να είναι προσεκτικοί όταν χρησιμοποιούν ομάδες της Microsoft και να μην μοιράζονται κανένα ευαίσθητο δεδομένων, πιθανόν να μην ανησυχούν ότι οι χάκερ είχαν ακόμα πρόσβαση στην πλατφόρμα.
Οι ηθοποιοί απειλών ισχυρίστηκαν επίσης στο BBC ότι ήταν πίσω από την απόπειρα Cyberattack στο Harrods.
Το Dragonforce είναι μια λειτουργία ransomware-as-a-service, όπου άλλοι εγκληματίες στον κυβερνοχώρο μπορούν να συμμετάσχουν ως θυγατρικές για να χρησιμοποιήσουν τους κρυπτογραφητές ransomware και τους χώρους διαπραγμάτευσης. Σε αντάλλαγμα, οι φορείς εκμετάλλευσης του Dragonforce λαμβάνουν 20-30% οποιουδήποτε λύτρα που καταβάλλονται από τα θύματα που έχουν εκβληθεί.
Στις επιθέσεις, οι θυγατρικές θα παραβιάζουν ένα δίκτυο, θα κλέψουν δεδομένα και τελικά θα αναπτύξουν κακόβουλο λογισμικό που κρυπτογραφεί τα αρχεία σε όλους τους διακομιστές και τους σταθμούς εργασίας. Οι ηθοποιοί απειλών ζητούν στη συνέχεια μια πληρωμή λύτρας για να ανακτήσουν έναν αποκρυπτογραφητή και να υποσχεθούν ότι θα διαγραφούν κλεμμένα δεδομένα.
Εάν δεν καταβληθεί λύτρα, η λειτουργία ransomware δημοσιεύει τυπικά τα κλεμμένα δεδομένα στον ιστότοπο διαρροής δεδομένων Dark Web.
Το Dragonforce είναι μια σχετικά νέα επιχείρηση, αλλά προετοιμάζεται να είναι ένας από τους πιο προεξέχοντες στο χώρο ransomware.
Πιστεύεται ότι εργάζονται με αγγλόφωνους ηθοποιούς απειλής που ταιριάζουν σε ένα συγκεκριμένο σύνολο τακτικών που σχετίζονται με το όνομα “διάσπαρτη αράχνη” ή “Octo Tempest”.
Αυτοί οι ηθοποιοί απειλών είναι εμπειρογνώμονες στη χρήση επιθέσεων κοινωνικής μηχανικής, στην ανταλλαγή SIM και στις επιθέσεις κόπωσης MFA σε δίκτυα παραβίασης και στη συνέχεια να κλέψουν δεδομένα ή να αναπτύξουν ransomware. Οι ηθοποιοί απειλών είναι γνωστό ότι εκτοπίζουν επιθετικά τα θύματά τους.
Για να είμαστε σαφείς, η Scatted Spider δεν είναι συμμορία ή ομάδα με συγκεκριμένα μέλη. Αντ ‘αυτού, είναι μια άμορφη κοινότητα οικονομικά κίνητρα απειλών που συγκεντρώνονται στα ίδια κανάλια τηλεγράφων, διακομιστές διαφωνίας και φόρουμ hacking.
Καθώς είναι “διάσπαρτα” σε όλο το τοπίο του κυβερνοχώρου, είναι πιο δύσκολο για την επιβολή του νόμου να παρακολουθεί μεμονωμένα άτομα που συνδέονται με μια επίθεση.
Οι αρχικοί ηθοποιοί απειλής που σχετίζονται με τη διάσπαρτη ταξινόμηση αράχνης ήταν πίσω από μια σειρά επιθέσεων, συμπεριλαμβανομένων εκείνων των MGM και Reddit.
Μερικοί, αν όχι όλοι, από αυτούς τους αρχικούς χάκερ έχουν συλληφθεί τώρα από τις ΗΠΑ, το Ηνωμένο Βασίλειο και την Ισπανία.
Ωστόσο, οι προηγουμένως άγνωστοι χάκερ ή αντιγράφων χρησιμοποιούν τώρα τις ίδιες μεθόδους για να κλιμακώσουν τις επιθέσεις.
Ο ερευνητής στον κυβερνοχώρο Will Thomas έχει συγκεντρώσει ένα προτεινόμενος οδηγός για την υπεράσπιση των διάσπαρτων επιθέσεων αράχνης.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
