İngiltere perakendeci ko-op, Nisan ayında devasa siber saldırıda 6.5 milyon üyeden oluşan kişisel verilerin sistemlerini kapatan ve marketlerinde gıda kıtlığına neden olan kişisel verilerin çalındığını doğruladı.
Kooperatif (Kooperatif Grubu Kısacası), İngiltere’nin en büyük tüketici kooperatiflerinden, işletme gıda mağazaları, cenaze hizmetleri, sigorta ve yasal hizmetlerden biridir. Hizmetlerde indirim alan ve şirketin yönetişiminde pay alan milyonlarca üyeye aittir.
Co-op CEO’su Shirine Khoury-Haq, bugün BBC kahvaltı şovunda özür diledi ve saldırganların 6,5 milyon üyesinin tümü için verileri başarıyla çaldığını doğruladı.
Khoury-Haq, “Verileri kopyalandı ve suçluların diğer kuruluşları hacklediklerinde yaptıkları gibi erişebildiler. Maalesef bunun korkunç kısmı.” Dedi.
Saldırıda hiçbir finansal veya işlem bilgisi ortaya çıkmamış olsa da, üyeleri için iletişim bilgileri çalındı.
CEO, ihlalin kendisine değil, kooperatif üyelerine ve etkilenen çalışanlarına kişisel bir saldırı gibi hissettiğini söyledi.
Röportajda, “Ve bu benim hakkımda değil. Bu benim meslektaşlarımdı. Benim için kişiseldi çünkü onlara zarar verdi. Üyelerimi incitti. Verilerini aldılar ve müşterilerimize zarar verdiler ve kişisel olarak aldığım.”
Siber saldırı Nisan ayında meydana geldi ve işbirliğini tehdit aktörlerinin cihazlara daha fazla yayılmasını ve sonuçta Dragonforce fidye yazılım şifrelemesini dağıtmasını önlemek için birkaç BT sistemini kapatmaya zorladı.
Başlangıçta ağına müdahale girişimi olarak küçümsenen şirket daha sonra saldırı sırasında “önemli” miktarda veriye erişildiğini ve çalındığını doğruladı.
Kaynaklar, Tehdit Oyuncularının bir çalışanın şifresini sıfırlamalarına izin veren bir sosyal mühendislik saldırısı gerçekleştirdikten sonra, ihlalin başlangıçta 22 Nisan’da gerçekleştiğini söyledi.
Ağa eriştikten sonra, diğer cihazlara yayılırlar ve sonuçta Windows etki alanının Windows NTDS.DIT dosyasını çaldılar. Bu dosya, Windows hesapları için parola karma içeren Windows Active Directory hizmetleri için bir veritabanıdır.
Tehdit aktörleri genellikle bu dosyayı çevrimdışı şifreleri çıkarmak ve çatlatmak için çalarak ağdaki diğer cihazlara daha fazla yayılmalarını sağlar.
BleepingComputer, saldırının, Dragonforce fidye yazılımlarının konuşlandırıldığı Marks & Spencer (M&S) siber saldırısına bağlı dağınık örümcek ile ilişkili tehdit aktörleriyle bağlantılı olduğu söylendi.
BBC, bağlı kuruluşlarından birinin saldırının arkasında olduğunu doğrulayan Dragonforce fidye yazılımı operatörüne kooperatif hakkında konuştuğunu bildirdi. Ayrıca, saldırı sırasında ko-op kurumsal ve müşteri verilerinin çalındığını iddia ederek BBC ile veri örneklerini paylaştılar.
Geçen hafta, İngiltere’nin Ulusal Suç Ajansı (NCA), kooperatif, M&S saldırılarına karıştığından şüphelenilen dört kişiyi ve Harrods’a girişimi tutukladı.
Tutuklanan bireyler, Londra ve West Midlands’de yakalanan 19 yaşında bir erkek, bir 17 yaşında erkek ve 20 yaşında bir kadın.
Tutuklanan şüphelilerden birinin, 100’den fazla VMware ESXI sanal makinesinin şifrelemesiyle sonuçlanan MGM Resorts’a yapılan 2023 saldırısına bağlı olduğu bildiriliyor.
MGM saldırısı, o sırada Blackcat fidye yazılımı operasyonu ile çalışan dağınık örümcekle de ilişkilendirildi.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.