Nijedan kraj još nije na vidiku za trgovce u Velikoj Britaniji podvrgnuti se prividnim napadama za otpatke
Od
Alex Scroxton,Sigurnosni urednik
Objavljeno: 07. maja 2025. 16:45
BANKSKI TELETCAND vidio je nastavljajući poremećaj iz niza cyber napada na maloprodajni sektor u Velikoj Britaniji koji se odvijao u prošloj sedmici, a praznine se pojavljuju na policama na Marks i Spencer (M & S) i zadruga.
Napadi, koji su započeli preko Uskrsnog vikenda, zauzeli su predstavnici operacije Ransomware-AS-a-a-a-a-servisa (RAAS). Prvo su povezani sa raštrkanim paukom i kompletom, dva preklapaju se s preklapanjem sa engleskim kolekcijama engleskog jezika, koji djeluju kao zmajsko podružnica.
U daljnjem ažuriranju vikendom, CO-OP CEO Shirine Khoury-HAQ rekao je kupcima putem e-maila da su cyber zločinci iza napada bili “vrlo sofisticirani” i da se u upravljanju njenom težini znači da višestruke usluge mora ostati suspendirano.
Khoury-HAQ je ponovio da su podaci o kupcima utjecali u napadu. “Ovo je očigledno izuzetno uznemirujuće za naše kolege i članove, i jako mi je žao što se to dogodilo. Prepoznajemo važnost zaštite podataka i preuzimamo svoje obveze za vas i naše regulatore ozbiljno, posebno kao organizaciju u vlasništvu člana”, kazala je ona.
Pojavljuju se da su pogođeni podaci o članovima zadruge u članovima, datumima rođenja i kontakt podatke, ali ne i lozinke, financijske detalje ili bilo kakve informacije o navikama kupovine članova ili druge interakcije s organizacijom.
Zmajforce, Grupa bijelog etiketa koja tvrdi da je odgovornost za sva tri napada, prethodno podijelila uzorak te podatke o oko 10 000 članova za suradnju sa BBC-om i rekao novinarima da su na crnoj listi.
U međuvremenu, M & S insajderi – govoreći s nekim vijestima – otkriveno je kako je to osoblje primorano da spava u uredu usljed haosa. Zaposleni su opisali kako je nedostatak planiranja takvog scenarija doveo do haosa unutar M & S i rekao da može biti značajno vrijeme prije nego što se stvari počnu vratiti u normalu.
Nacionalni centar Cyber sigurnosnog sigurnosti (NCSC) Jonathan Ellison i Ollie Whitehouse, rečeno, rečeno: “NCSC radi sa organizacijama koje su pogođene nedavnim incidentima i da se umanji povreda i pružaju savjet šireg sektora i ekonomiji.
“Dok imamo uvid, još uvijek ne možemo reći da li su ovi napadi povezani, ako je ovo usklađena kampanja jednog glumca ili ne postoji veza između njih.
“Također dijelimo ono što znamo sa uključenim kompanijama i šireg sektora – preko naših turističkih grupa usredotočenih na sektor koji upravlja NCSC – i ohrabrujućih kompanija da podijele svoja iskustva i ublažavanje,” dodao je Ellison i bijela kuća.
Šta je Dragonforce?
Sentinelone Senior prijetnji istraživač Jim Walter rekao je da je Dragonforce započeo kao malezijska haljska mreža koja podržava palestinske uzroke, ali od njegove pojave u ljeto 2023. okrenulo je hibridnom modelu političkog hactivizma i iznuđivanja s hibridnim modelom i iznuđivačkom izmučenju.
Ciljala je na više vladinih tijela u Izraelu, Indiji, Saudijskoj Arabiji i Velikoj Britaniji, kao i komercijalnim preduzećima i organizacijama usklađene sa specifičnim političkim uzrocima.
Val napada na UK preduzeća ističe trenutnu potrebu za jakim cyber sigurnosnim praksama i politikama, zajedno sa dobro razvijenim procedurama odgovora na incident Jim Walter, sentinelone
Walters je rekao da su se neke komponente napada pripisane podružbi, u tom pogledu je bilo nedostatka snažnih tehničkih dokaza, iako su postojale jasne ponašajuće i operativne karakteristike u skladu sa napadima raštrkanih pauka i COM-a.
“Dok Dragonforce i dalje zamagljuje liniju između hactivizma i finansijske motivacije, njegovo nedavno ciljanje sugerira da je grupa sve više motivirana financijskim nagradama”, napisao je Walter u blogu.
“Iako je gradski model Dragonforce nije prvi takve vrste, njegovi trenutni uspjesi i nedavna smrt suparničkih operacija sugeriraju da će postati sve atraktivniji i za orfhanene ransomware glumce i više grupa resursa koji žele napredovati u sve konkurentnijem prostoru.
“Val napada na preduzeća u Velikoj Britaniji u poslednjih nedelja ističe tekuću potrebu za jakim cyber sigurnosnim praksama i politikama, zajedno sa dobro razvijenim procedurama odgovora na incidente.”
Dragonforce ili njegove podružnice, obično dobivaju pristup svojoj žrtvi okruženja koristeći kombinaciju ciljanih krađe e-pošte i eksploatacije poznatih ranjivosti. Oni su favorizirali nekoliko ‘Hardy Hernials’, uključujući log4j i visoke profile Ivanti ranjivosti.
Poznato je i da koristi ukradene vjerodajnice – ovo je možda bio slučaj u M & S incidentima i ili vjerodajnicama punjenih napada na usluge udaljene radne površine (RDP) ili virtualne privatne mreže (VPNS).
Tipično koristi Cobalt Strike i slične alate za pokretanje njegovih kampanja i alata za daljinsko upravljanje kao što su Mimicatz, napredni IP skener i pingastle za ponašanje bočnog pokreta, uspostavi upornost i uzdignite njihovu privilegiju. Sve su to vrlo tipično ponašanje za bande za ransomware.
Ransomware korisno opterećenje, koje je u početku izgrađeno u potpunosti na procurilo Lockbit 3.0 / crni ormar, ima kasno evoluiralo u BRSPOKE Brend Ransomware sa više korijena u Contiovu kore. Njegove karakteristike šifriranja su malo neobične – koristi AES za primarnu enkripciju datoteka i RSA za osiguranje ključeva – iako uzorci izvedenih kontinacije šifriraju se sa algoritmom Chacha8.
Podružnice mogu iskoristiti različite alate za izgradnju novih korisnih tereta i upravljati kampanjama, s ciljanim varijantama za platforme poput Linux-a, VMware ESXI i prozori. Korisničke opterećenja mogu se u velikoj mjeri prilagoditi u svom ponašanju, tako da podružnice mogu diktirati, na primjer, koje proširenja žele dodati, različite skripte naredbenog retka i dopuštaju i negiraju liste za enkripciju datoteka. Čak mogu postaviti odloženo izvršenje ako žele.
Za exfiltraciju podataka moguća su više opcija, a podružnice mogu postaviti i kolaborativne timove u upravljačkoj ploči Ransomware, što im omogućuju da efikasnije rade zajedno i komuniciraju i koordiniraju sa žrtvama
Nedavno je Dragonforce predstavio novu uslugu bijelog označavanja koja omogućava da pridruže zamotavaju ransomware u vlastitim brendiranjem za dodatnu naknadu, širenjem u aktivniju kartel tipa tipa, objasnio je Walter.
Pročitajte više o prekršajnom menadžmentu i oporavku
M & S, suradnik napada “kategorija 2 cyber uragana”, recimo stručnjaci u Velikoj Britaniji
Napisao: Alex Scroxton
Kratki vijesti: Najpopularniji tjedan kršenja proizlazi iz napada treće strane
Napisao: Sharon Shea
Sophos upozorava MSPS preko prijetnje Dragonforce
Napisao: Simon Quicke
M & S Cyber Attack poremećaji su vjerovatno trajali do jula
