Kooperatif siber saldırısı başlangıçta rapor edilenden çok daha kötüdür, şirket şimdi verilerin önemli sayıda mevcut ve geçmiş müşteri için çalındığını doğruladı.
Co-op, BleepingComputer’a verdiği demeçte, “Devam eden adli soruşturmalar sonucunda, bilgisayar korsanlarının sistemlerimizden birinden verilere erişebildiğini ve verilebileceğini biliyoruz.” Dedi.
“Erişilen veriler, mevcut ve geçmiş üyelerimizin önemli sayıda ile ilgili bilgileri içeriyordu.”
“Bu veriler, kooperatif grubu üyelerinin adlar ve iletişim bilgileri gibi kişisel verilerini içerir ve üyelerin şifrelerini, bankasını veya kredi kartı bilgilerini, herhangi bir üyenin veya müşterilerin ürün veya hizmetleri ile ilgili bilgileri ortak grupla ilgili olarak içermez.”
Çarşamba günü, İngiltere perakende devi kooperatifi, ağına giriş girişimini tespit ettikten sonra BT sistemlerinin bölümlerini kapattığını belirterek siber saldırıyı küçümsedi.
Bununla birlikte, haberlerin kırılmasından kısa bir süre sonra BleepingComputer, şirketin dağınık örümcek/Octo Temptest ile ilişkili taktikleri kullanarak gerçekten bir ihlal geçirdiğini öğrendi, ancak savunmaları tehdit aktörlerinin ağa önemli hasar vermesini engelledi.
Kaynaklar, BleepingComputer’a saldırının 22 Nisan’da meydana geldiğine inanıldığını ve tehdit aktörlerinin Marks ve Spencer’a benzer taktikler kullandığını söyledi. Tehdit aktörlerinin, bir çalışanın şifresini sıfırlamalarına izin veren bir sosyal mühendislik saldırısı gerçekleştirdikleri ve daha sonra ağı ihlal etmek için kullanıldığı bildirildi.
Ağa eriştikten sonra, Windows hesapları için parola karma içeren Windows Active Directory hizmetleri için bir veritabanı olan Windows Ntds.dit dosyasını çaldılar.
Co-op şimdi tüm Windows etki alanı denetleyicilerini yeniden inşa etme ve Microsoft Dart’ın yardımıyla Entra Kimliğini sertleştirme sürecindedir. KPMG AWS desteğine yardımcı oluyor.
Bu ayrıntıları dün kooperatifle paylaşırken şirket, paylaşmanın başka bir şeyi olmadığını ve bize orijinal ifadesini gönderdiğini söyledi.
Dragonforce Saldırı’nın arkasındaki fidye yazılımı
Bugün, BBC ilk olarak M & S’yi ihlal eden aynı hackerlar olan Dragonforce Fidye Yazılımı operasyonu için bağlı kuruluşların da kooperatif saldırısının arkasında olduğunu bildirdi.
BBC muhabiri Joe Tidy, saldırının arkasında olduklarını doğrulayan ve saldırı sırasında çalınan kurumsal ve müşteri verilerinin örneklerini paylaşan Dragonforce operatörüyle konuştu. Tehdit aktörleri, Co-op üyelik ödül programına kayıtlı 20 milyon kişiden verildiğini iddia ediyor.
Tehdit oyuncusu, Microsoft Teams mesajlarını kullanarak Co-op’un siber güvenlik başkanıyla ve diğer yöneticilerle temasa geçtiklerini ve gasp mesajlarının ekran görüntülerini BBC ile paylaştıklarını belirtti.
Saldırıdan sonra Co-op, çalışanlara Microsoft ekiplerini kullanırken uyanık olmaları ve herhangi bir hassas veriyi paylaşmamaları konusunda uyaran bir dahili e-posta gönderdi, muhtemelen bilgisayar korsanlarının hala platforma erişiminden endişe duymadı.
Tehdit aktörleri ayrıca BBC’ye Harrods’daki siber saldırı girişiminin arkasında olduklarını iddia etti.
Dragonforce, diğer siber suçluların fidye yazılımı şifrelemelerini ve müzakere sitelerini kullanmak için bağlı kuruluşlar olarak katılabilecekleri bir hizmet olarak fidye yazılımı operasyonudur. Buna karşılık, Dragonforce operatörleri, zorlu kurbanlar tarafından ödenen fidye% 20-30’unu alırlar.
Saldırılarda, bağlı kuruluşlar bir ağı ihlal edecek, verileri çalacak ve sonuçta tüm sunucular ve iş istasyonlarındaki dosyaları şifreleyen kötü amaçlı yazılımları dağıtacaktır. Tehdit aktörleri daha sonra bir şifreleme almak ve çalınan verilerin silineceğine söz vermek için fidye ödemesi talep eder.
Bir fidye ödenmezse, fidye yazılımı işlemi genellikle çalınan verileri karanlık web veri sızıntı sitesinde yayınlar.
Dragonforce nispeten yeni bir operasyondur, ancak fidye yazılımı alanında daha belirgin olanlardan biri olmak için hazırlanmaktadır.
“Dağınık Örümcek” veya “Octo Tempest” adıyla ilişkili belirli bir taktik setine uyan İngilizce konuşan tehdit aktörleriyle çalıştıklarına inanılıyor.
Bu tehdit aktörleri, ağları ihlal etmek ve daha sonra veri çalmak veya fidye yazılımları dağıtmak için sosyal mühendislik saldırıları, SIM değiştirme ve MFA yorgunluk saldırılarını kullanma konusunda uzmandır. Tehdit aktörlerinin kurbanlarını agresif bir şekilde zorladıkları bilinmektedir.
Açık olmak gerekirse, korkutucu örümcek belirli üyeleri olan bir çete veya grup değildir. Bunun yerine, aynı telgraf kanallarında, anlaşmazlık sunucularında ve hack forumlarında toplanan finansal olarak motive olmuş tehdit aktörlerinin amorf bir topluluğudur.
Siber suç manzarasına “dağılmış” oldukları için, kolluk kuvvetlerinin bir saldırı ile ilişkili bireysel insanları izlemesi daha zordur.
Dağınık örümcek sınıflandırmasıyla ilişkili orijinal tehdit aktörleri, MGM ve Reddit’dekiler de dahil olmak üzere bir dizi saldırının arkasındaydı.
Hepsi olmasa da, bu orijinal bilgisayar korsanlarının bazıları şimdi ABD, Birleşik Krallık ve İspanya tarafından tutuklandı.
Ancak, daha önce bilinmeyen bilgisayar korsanları veya taklitçiler artık saldırıları artırmak için aynı yöntemleri kullanıyor.
Siber güvenlik araştırmacısı Will Thomas, dağınık örümcek saldırılarına karşı savunma konusunda önerilen bir rehber hazırladı.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.