Banka tatili hafta sonu, İngiltere perakende sektöründe son iki hafta boyunca ortaya çıkan bir dizi siber saldırıdan devam eden kesintiler gördü ve Marks ve Spencer (M&S) ve kooperatifte raflarda boşluklar ortaya çıktı.
Paskalya hafta sonu boyunca başlayan saldırılar, Hizmet Olarak Dragonforce Fidye Yazılımı (RAAS) operasyonunun temsilcileri tarafından talep edildi. İlk olarak dağınık örümcek ve com, örtüşen iki İngilizce konuşan hack kolektifi ile bağlantılıydılar, bir Dragonforce üyesi olarak hareket etti.
Hafta sonu boyunca bir başka güncellemede, kooperatif CEO’su Shirine Khoury-Haq, müşterilere e-posta yoluyla saldırının arkasındaki siber suçluların “son derece sofistike” olduğunu ve şiddetinin yönetilmesinin birden fazla hizmetin askıya alınması gerektiği anlamına geldiğini söyledi.
Khoury-Haq, müşteri verilerinin saldırıdan etkilendiğini yineledi. “Bu, meslektaşlarımız ve üyelerimiz için son derece üzücü ve bunun gerçekleştiği çok üzgünüm. Veri korumasının önemini kabul ediyoruz ve size ve düzenleyicilerimize, özellikle üyeye ait bir kuruluş olarak ciddiye alıyoruz” dedi.
Kooperatif üyeleri üzerindeki etkilenen veriler, isimleri, doğum tarihlerini ve iletişim bilgilerini içeriyor, ancak şifreler, finansal detaylar veya üyelerin alışveriş alışkanlıkları veya kuruluşla diğer etkileşimler hakkında herhangi bir bilgi içermiyor.
Üç saldırı için sorumluluk iddia eden beyaz etiketli fidye yazılımı grubu Dragonforce, daha önce bu verilerin bir örneğini BBC ile yaklaşık 10.000 kooperatif üyesine paylaşmıştı ve gazetecilere diğer İngiltere perakendecilerinin bir kara listede olduğunu söyledi.
Bu arada, M&S Insiders – Sky News ile konuşan – BT personelinin kaosun ortasında ofiste nasıl uyumaya zorlandığını açıkladı. Çalışanlar, böyle bir senaryo için planlama eksikliğinin M&S içinde kaosa nasıl yol açtığını anlattılar ve işlerin normale dönmeye başlamasının önemli bir süre olabileceğini söyledi.
Ulusal Siber Güvenlik Merkezi’nin (NCSC) Jonathan Ellison ve Ulusal Dayanıklılık ve Baş Teknoloji Sorumlusu Direktörü Ollie Whitehouse şunları söyledi: “NCSC, saldırıların doğasını anlamak ve daha geniş sektör ve ekonomiye tavsiyelerde bulunmak için son olaylardan etkilenen kuruluşlarla birlikte çalışıyor.
“İçgörülerimiz olsa da, bu saldırıların bağlantılı olup olmadığını, bu tek bir aktör tarafından uyumlu bir kampanya olup olmadığını veya aralarında hiçbir bağlantı olup olmadığını söyleyecek bir konumda değiliz. Bunu tespit etmek için kurbanlar ve kolluk meslektaşlarıyla çalışıyoruz” dediler.
Ellison ve Whitehouse, “İlgili şirketler ve daha geniş sektörle-NCSC tarafından işletilen sektör odaklı güven gruplarımız aracılığıyla-ve şirketleri deneyimlerini ve hafifletmelerini birbirleriyle paylaşmaya teşvik ediyoruz” diye ekledi Ellison ve Whitehouse. “
Dragonforce nedir?
Sentinelone Kıdemli Tehdit Araştırmacısı Jim Walter, Dragonforce’un Filistin nedenlerini destekleyen Malezya merkezli bir hacktivist ağ olarak başladığını, ancak 2023 yazında ortaya çıkmasından bu yana, siyasi hacktivizm ve fidye yazılımı özellikli bir şekilde hibrit bir model için döndüğünü söyledi.
İsrail, Hindistan, Suudi Arabistan ve İngiltere’de birden fazla hükümet organının yanı sıra belirli siyasi nedenlerle uyumlu ticari işletmeler ve kuruluşları hedef aldı.
İngiltere işletmelerine yönelik saldırılar dalgası, iyi gelişmiş olay müdahale prosedürleri ile birlikte güçlü siber güvenlik uygulamalarına ve politikalarına olan ihtiyacı vurgulamaktadır.
Jim Walter, Sentinelone
Walters, saldırıların bazı bileşenleri bir bağlı kuruluşa atfedilmesine rağmen, dağınık örümcek ve com tarafından yapılan saldırılarla tutarlı açık davranışsal ve operasyonel özellikler olmasına rağmen, bu konuda güçlü teknik kanıtların eksikliği olduğunu söyledi.
Walters bir blog yazısında, “Dragonforce, hacktivizm ve finansal motivasyon arasındaki çizgiyi bulanıklaştırmaya devam ederken, son hedeflemesi grubun finansal ödüller tarafından giderek daha fazla motive edildiğini gösteriyor” diye yazdı.
“Dragonforce’un büyük ölçekli kartel modeli türünün ilk örneği olmasa da, mevcut başarıları ve son rakip operasyonların ölümü, hem yetim fidye yazılım aktörleri hem de giderek daha rekabetçi bir alanda gelişmek isteyen daha fazla kaynaklı grup için giderek daha çekici hale geleceğini gösteriyor.
“Son haftalarda İngiltere işletmelerine yönelik saldırılar dalgası, iyi gelişmiş olay müdahale prosedürlerinin yanı sıra güçlü siber güvenlik uygulamalarına ve politikalarına devam eden ihtiyacı vurgulamaktadır.”
Dragonforce veya bağlı kuruluşları, genellikle hedefli kimlik avı e -postalarının bir kombinasyonunu ve bilinen güvenlik açıklarının sömürülmesini kullanarak kurban ortamlarına erişim sağlar. Log4J ve yüksek profilli Ivanti güvenlik açıkları da dahil olmak üzere birkaç ‘dayanıklı uzun ömürlü’ tercih ettiler.
Ayrıca çalıntı kimlik bilgilerini kullandığı bilinmektedir – bu, M&S olayında ve / veya uzak masaüstü protokolü (RDP) hizmetlerine veya sanal özel ağlara (VPN’ler) yönelik kimlik bilgisi doldurma saldırılarında geçerli olabilir.
Tipik olarak, kampanyalarını çalıştırmak için kobalt grevi ve benzer araçlar kullanır ve yanal hareket yapmak, kalıcılık oluşturmak ve ayrıcalıklarını yükseltmek için Mimikatz, Gelişmiş IP tarayıcı ve Pingcastle gibi uzaktan yönetim araçları kullanır. Bunların hepsi fidye yazılımı çeteleri için son derece tipik davranışlardır.
Başlangıçta tamamen sızdırılan Lockbit 3.0/Siyah Locker’a inşa edilen fidye yazılımı yükü, Conti’nin kod tabanında daha fazla köklü ısmarlama markalı bir fidye yazılımı haline geldi. Şifreleme özellikleri biraz sıradan-birincil dosya şifrelemesi için AE’ler ve anahtarları güvence altına almak için RSA kullanıyor-ancak içerikli örnekler Chacha8 algoritması ile şifreliyor.
İştirakler, Linux, VMware ESXI ve Windows gibi platformlar için hedefli varyantlarla yeni yükler oluşturmak ve kampanyaları yönetmek için çeşitli araçlardan yararlanabilir. Yükler davranışlarında da büyük ölçüde özelleştirilebilir, böylece bağlı kuruluşlar, örneğin hangi uzantıları eklemek istediklerini, farklı komut satırı komut dosyalarını dikte edebilir ve dosya şifreleme için listelere izin verebilir ve reddedebilir. İstedikleri takdirde gecikmiş yürütme bile ayarlayabilirler.
Veri açığa çıkması için birden fazla seçenek mümkündür ve bağlı kuruluşlar fidye yazılımı kontrol panelinde işbirlikçi ekipler kurabilir ve bu da birlikte daha etkili bir şekilde çalışmasını ve kurbanlarla iletişim kurmalarını ve koordine etmelerini sağlar.
Daha yakın zamanlarda, Dragonforce, bağlı kuruluşların fidye yazılımlarını kendi markalarına sararak ek bir ücret karşılığında, daha aktif bir kartel tipi hizmete genişleten yeni bir beyaz etiket hizmeti sundu.