Birden fazla kaynak, İngiliz çokuluslu perakendeci Marks & Spencer’ın bir haftadan fazla bir süredir mücadele ettiği “siber olay” fidye yazılımı saldırısıdır.
Telgraf kaynakları, fidye yazılımının isimsiz bir suç çetesi tarafından konuşlandırıldığını söylüyor. Bleeping Computer’s, saldırganların dağınık örümcek hackleme grubunun üyesi olduğunu ve M & S’nin VMware ESXI ana bilgisayarlarındaki sanal makinelerinin Dragonforce şifreleyicisi ile şifrelendiğini söylüyor.
Saldırının etkileri
Şirket, Londra Menkul Kıymetler Borsası’nı ve müşterilerini resmi olarak bilgilendirerek 22 Nisan 2025 tarihinde devam eden saldırıyı açıkça doğruladı.
M&S, olayı soruşturmaya ve yönetmeye yardımcı olmak için dış siber güvenlik uzmanlarıyla uğraştıklarını, olayı veri koruma denetleyici otoritelere ve Ulusal Siber Güvenlik Merkezine bildirdiklerini ve müşterileri korumak için mağaza operasyonlarında “küçük, geçici değişiklikler” yaptığını söyledi.
Saldırının etkileri müşteriler tarafından hissedildi: çevrimiçi siparişler askıya alındı (ve hala) temassız ödemeler ve hediye kartlarının yeniden yerleştirilmesi geçici olarak imkansızdı, bazı siparişler teslim edildi, geri ödemeler gecikti ve müşteri ödül şeması duraklatıldı.
O zamandan beri, sosyal medya aracılığıyla hoşnutsuz müşterilere yanıt veriyorlar ve ortaya çıkan ancak annem saldırının doğası ve kapsamı üzerinde tutulan sorunlara çözümler sunuyorlar.
Fidye yazılımı dağıtım
Birçoğu, saldırının muhtemelen bir fidye yazılımı / siber gasp kıyafetinin işi olduğunu düşünüyor.
Güvenlik araştırmacısı Kevin Beaumont, şirketin 20 Nisan’dan bu yana internete maruz kalan VPN uç noktalarını ve diğer harici hizmetlerini çevrimdışı olarak çektiğini fark etti (yani Avrupa’nın çoğunda Paskalya Pazar).
Birkaç gün önce, “IPS’den Crumaware gruplarıyla ilişkili ağ faaliyeti vardı, ancak paylaşılan altyapı nedeniyle hangisinin bilmek zor” dedi.
Blewing Computer’ın kaynaklarına göre, saldırganlar önce Şubat ayında M & S’yi ihlal etti ve ntds.dit Şirketin Active Directory Etki Alanı Denetleyicilerinden Veritabanı Dosyası.
Daha sonra muhtemelen çalışan hesapları için şifrelenmiş şifreleri çıkardılar, şifrelemeyi kırdılar ve şirketin Windows alanından yol almak için hesap kimlik bilgilerini kullandılar. Dragonforce şifreleyici 24 Nisan 2025’te konuşlandırıldı.
Yayın, “Şimdiye kadar yapılan soruşturma, dağınık örümcek olarak bilinen veya Microsoft’un onlara dediği gibi, Octo Tempest’in saldırının arkasında olduğunu gösteriyor” dedi.
Dağılmış Örümcek, kimlik avı, sosyal mühendislik, MFA hızlı bombalama ve SIM değiştirme saldırıları ve genellikle çeşitli fidye yazılım gruplarına sahip müttefikler konusunda uzmanlaşmış gevşek organize edilmiş bir siber suç grubudur.
Dragonforce Hizmet Olarak Fidye Yazılımı (RAAS) kıyafeti-veya “kartel”, kendileri olarak adlandırdıkları gibi-Ağustos 2023’ten beri var ve bağlı kuruluşlarına ücretli fidye yüzdesi için araç ve hizmetler sunuyor.
Müşteriler için bir uyarı
M&S müşterileri, çevrimiçi alışverişlerini yapmaya devam etmek için sorunların temizlenmesini bekliyor, ancak şirket bunun ne zaman olabileceğini henüz söylemedi.
M&S, müşterilerin kişisel ve ödeme bilgilerinin tehlikeye atıldığına inanılıp inanmadığını söylemedi, sadece “gerek yok [customers] herhangi bir işlem yapmak için. “
Bununla birlikte, dolandırıcıların bu yüksek profilli ihlalden ve birçok bilinmeyenden yararlanmak isteyecek ve şirketi taklit eden kimlik avı e-postaları ve mesajlar gönderecekler.
Müşteriler, hesaplarının veya ödeme bilgilerinin tehlikeye atıldığını ve hesabı veya bilgileri, benzeri bir kimlik avı sitesine girerek, geri ödeme ile ilgili sorunlar olduğunu söyleyen sahte uyarılar vb.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!