M&S, bugün perakende satış noktasının ağının başlangıçta bir “sofistike taklit saldırısı” nda ihlal edildiğini doğruladı ve bu da sonuçta bir Dragonforce fidye yazılımı saldırısına yol açtı.
M&S Başkanı Archie Norman bunu İngiltere Parlamentosu’nun ülkedeki perakende sektöründeki son saldırılarla ilgili ekonomik güvenlik konusundaki iş ve ticaret alt komitesiyle bir duruşmada açıkladı.
Norman ayrıntılara girmese de, tehdit aktörlerinin üçüncü taraf bir varlığı bir çalışanın şifresini sıfırlamak için kandırmak için şirketle birlikte çalışan 50.000 kişiden birini taklit ettiğini belirtti.
Norman, “Bizim durumumuzda, 17 Nisan’da insanların sosyal mühendislik olarak adlandırdığı şeyle ortaya çıktı. Bunun bir kimliğe bürünme için bir öphamizm olduğunu söyleyebildiğim kadarıyla ortaya çıktı.”
“Ve bu sofistike bir kimliğe büründü. Sadece yürümediler ve şifremi değiştirecek misin? Detayları olan biri olarak göründüler. Ve giriş noktasının bir kısmı da üçüncü taraf içeriyordu.”
Mayıs ayında FT tarafından bildirildiği gibi, dış kaynak şirketi Tata Danışmanlık Hizmetleri, M & S’ye yapılan saldırıya yanlışlıkla dahil olup olmadığını araştırmaya başlamıştı. Tata, M & S için yardım masası desteği sağlar ve tehdit aktörleri tarafından bir çalışanın şifresini sıfırlamaya kandırıldığına inanılmaktadır ve bu da daha sonra M&S ağını ihlal etmek için kullanılır.
M&S ilk kez Dragonforce Fidye Yazılımı operasyonuna Asya’dan faaliyet gösterdiğine inanılan potansiyel saldırgan olarak bahsetti.
Diyerek şöyle devam etti: “Saldırının kışkırtıcısının Asya’da fidye yazılımı operasyonu temelli bir Dragonforce olduğuna inanılıyor.”
Saldırıdan bu yana, birçok medya kuruluşu “Dragonforce Malezya” olarak bilinen bir hacktivist grubu Dragonforce fidye yazılımı çetesine yanlış bağladı. Hacktivistlerin Malezya dışında faaliyet gösteren bir çocuk yanlısı grup olduğuna inanılırken, Dragonforce fidye yazılımı operasyonunun Rusya’da olduğuna inanılıyor.
BleepingComputer tarafından ilk olarak bildirildiği gibi, M&S saldırısı, Dragonforce fidye yazılımını ağa yerleştiren dağınık örümcekle bağlantılı tehdit aktörleri tarafından gerçekleştirildi.
Bu, M & S’nin saldırının yayılmasını önlemek için tüm sistemlerini bilerek kapatmasına neden oldu.
Bununla birlikte, o zamana kadar çok geçti, çok sayıda VMware ESXI sunucusu şifrelendi ve BleepingComputer’a yaklaşık 150GB verinin çalındığına inanıldığını söyleyen kaynaklar.
Fidye yazılımı işlemi, sadece cihazları şifrelemekle kalmayıp, aynı zamanda verileri çalmayı ve bir fidye ödenmezse yayınlamakla tehdit etmeyi içeren bir çift uzatma taktiği kullanır.
BleepingComputer’a saldırıda verilerin çalındığı söylenirken, Dragonforce M & S için veri sızıntı sitesine bir giriş yapmadı. Bu, perakende zincirinin çalınan verilerin sızmasını önlemek için fidye talebi ödediğini gösterebilir.
Duruşmalar sırasında fidye talepleri sorulduğunda Norman, tehdit aktörleriyle uğraşırken elle bir yaklaşım yaptıklarını söyledi.
Norman, “M & S’de kimsenin doğrudan tehdit aktörleriyle ilgilenmeyeceğine dair erken bir karar aldık. Doğru şeyin bunu konuyla ilgili deneyimi olan profesyonellere bırakmak olacağını hissettik.”
Norman muhtemelen şirketlerin tehdit aktörleriyle müzakere etmelerine ve ödemeleri kolaylaştırmak için Bitcoin’e erişim elde etmelerine yardımcı olan fidye yazılımı müzakere firmalarına atıfta bulunmaktadır.
Açıkça bir fidye talebi ödeyip ödemedikleri sorulduğunda, Norman bu ayrıntıları “kamu yararına olduğunu düşünmedikleri”, ancak konuyu NCA ve yetkililerle tam olarak paylaştıkları için kamuya açıklamadıklarını söyledi.
Fidye yazılımı çeteleri nadiren ücretsiz olarak her şeyi yaparlar ve veriler şimdiye kadar çalındıysa ve sızdırılmamışsa, ya bir ödeme yapıldı ya da tehdit aktörleri hala M&S ile müzakere ediyorlar.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.