British Perakende Dev Marks & Spencer’da devam eden kesintiler, “Dağınık Örümcek” olarak bilinen bir hack kolektifi tarafından yürütüldüğüne inanılan bir fidye yazılımı saldırısından kaynaklanmaktadır.
Marks & Spencer (M&S), 64.000 çalışanı istihdam eden ve dünya çapında 1.400’den fazla mağazada giyim, yiyecek ve ev ürünleri de dahil olmak üzere çeşitli ürünler satan İngiliz çokuluslu bir perakendecidir.
Geçen Salı günü, M&S, temassız ödeme sistemi ve çevrimiçi sipariş de dahil olmak üzere yaygın bir bozulmaya neden olan bir siber saldırıya maruz kaldığını doğruladı. Bugün, Sky News, kesintinin devam ettiğini bildirdi ve yaklaşık 200 depo işçisinin şirket saldırıya yanıt verirken evde kalmasını söyledi.
BleepingComputer, devam eden kesintilerin şirketin sunucularını şifreleyen bir fidye yazılımı saldırısından kaynaklandığını öğrendi.
Tehdit aktörlerinin, Windows alanının NTDS.DIT dosyasını çaldıkları bildirildikleri bildirildiklerinde Şubat ayı başlarında M&S’yi ilk ihlal ettiklerine inanılıyor.
NTDS.DIT dosyası, Windows Etki Alanı Denetleyicisinde çalışan Active Directory Hizmetleri için ana veritabanıdır. Bu dosya, tehdit aktörleri tarafından çıkarılabilen ve ilişkili düz metin şifrelerine erişmek için çevrimdışı çatlamış olan Windows hesapları için parola karmalarını içerir.
Bu kimlik bilgilerini kullanarak, bir tehdit oyuncusu daha sonra ağ cihazlarından ve sunuculardan veri çalırken Windows etki alanı boyunca yanal olarak yayılabilir.
Kaynaklar, BleepingComputer’a tehdit aktörlerinin, 24 Nisan’da sanal makineleri şifrelemek için DragonForce DePryptor’u 24 Nisan’da VMware ESXI sunucularına kullandığını söyledi.
BleepingComputer, Marks ve Spencer’ın saldırıyı araştırmak ve yanıtlamak için Crowdstrike, Microsoft ve Fenix24’ten yardım istediklerini öğrendi.
Şimdiye kadar yapılan soruşturma, dağınık örümcek olarak bilinen veya Microsoft’un onlara dediği gibi, Octo Tempest’in saldırının arkasında olduğunu gösteriyor.
Bu bilgilerle temasa geçildiğinde, M&S siber olayla ilgili ayrıntılara giremeyeceklerini söyledi.
Bu veya başka bir siber saldırı hakkında bilginiz var mı? Bilgileri paylaşmak istiyorsanız, Lawrencea.11’deki sinyalden güvenli ve gizli bir şekilde iletişime geçebilirsiniz.
Dağınık Örümcek Kimdir?
0ktapus, Starfraud, UNC3944, dağınık domuz, Octo Tempest ve Muddlu Terazi olarak da bilinen dağınık örümcek, sosyal mühendislik saldırıları, kimlik avı, çok faktörlü kimlik doğrulama (çok faktörlü kimlik doğrulama (MFA) kullanma konusunda usta bir grup tehdit aktördür ve büyük organizasyonlara (hedeflenen MFA’lık) ilk ağ erişimine başlamak için başlayan bir grup tehdit aktörüdür.
Grup, aynı hacker forumlarını, telgraf kanallarını ve anlaşmazlık sunucularını sık sık sıklayan çeşitli beceri setlerine sahip İngilizce konuşan genç üyeleri (16 yaşından küçük) içerir. Bu ortamlar daha sonra gerçek zamanlı olarak saldırıları planlamak ve yürütmek için kullanılır.
Bazı üyelerin, medyanın dikkatini çeken şiddet eylemlerinde ve siber olaylarda yer alan gevşek örgülü bir topluluk olan “Comm” un bir parçası olduğuna inanılmaktadır.
Medya ve araştırmacılar yaygın olarak dağınık örümceğe uyumlu bir çete olarak atıfta bulunurken, aslında her saldırıya katılan farklı tehdit aktörleri olan bir bireyler ağıdır. Bu sıvı yapısı, onları izlemeyi zorlaştıran şeydir.
Grup başlangıçta finansal sahtekarlık ve sosyal medya saldırılarına başladı, ancak daha sonra bireylerden kripto para birimini çalmak veya gasp saldırılarında ihlal şirketlerini çalmak için son derece sofistike sosyal mühendislik saldırılarına ilerledi.
Grup, Eylül 2023’te MGM Resorts’a şirketin BT yardım masasını çağırırken bir çalışanı taklit eden bir sosyal mühendislik saldırısı kullanarak saldırılarını artırdı. Bu saldırıda, tehdit aktörleri 100’den fazla VMware ESXI hipervizörünü şifrelemek için Blackcat fidye yazılımını konuşlandırdı.
Bu, İngilizce konuşan tehdit aktörlerinin Rusça konuşan fidye yazılımı çeteleriyle çalıştıklarının bilinen ilk göstergesi olduğu için fidye yazılımı manzarasında çok önemli bir andı.
O zamandan beri, dağınık örümceğin Ransomhub, Qilin ve şimdi Dragonforce’a bağlı olarak hareket ettiği biliniyor.
Dragonforce, Aralık 2023’te başlatılan bir fidye yazılımı operasyonudur ve son zamanlarda siber suç ekiplerinin hizmetlerini beyaz etiketlemelerine izin verdikleri yeni bir hizmeti tanıtmaya başladı.
Araştırmacılar, SSO platformlarını hedefleyen kimlik bilgisi çalma kimlik avı saldırıları, BT BT BT BT BT BT BT BT BT BT BT Masaüstüne ve diğer taktikleri de dahil olmak üzere belirli uzlaşma göstergelerine dayanan dağınık örümcek grubuyla genellikle ilişkilendiriyorlar.
Siber güvenlik firması Silent Push, bu ayın başlarında Scated Spider’ın en son kimlik avı saldırılarını özetleyen bir rapor yayınladı.
Son iki yılda, kolluk kuvvetleri grubu giderek daha fazla hedefliyor ve ABD, Birleşik Krallık ve İspanya’da birçok iddia edilen üyeyi tutukladı.