İngiltere merkezli perakendeciler Marks & Spencer, Co-op ve Harrods son birkaç hafta içinde siber saldırganlar tarafından hedef alındı.
Saldırıların aynı grup tarafından monte edilip edilmediği kesin olarak söylemek zor: mağdur işler ayrıntılar yolunda çok az paylaşıyorlar ve profesyonel saldırganların saldırıların etkisini abartması ve başka türlü dahil olan herkesi ve dışarıdan izleyen herkesi yanıltmaları muhtemeldir.
Saldırılar hakkında ne biliyoruz
İngiliz çokuluslu perakendecisinde “siber olay” ile her şey – en azından halka açık bir şekilde – başladı Marks & Spencer.
Şirket, 22 Nisan 2025’te siber bir saldırının onları savunma moduna zorladığını doğruladı. O zamandan beri, M&S, sitesi, uygulamaları ve telefon üzerinden sipariş almayı duraklattı ve fiziksel mağazaları, şirketin stok sipariş sistemini geçici olarak kapatması ve mağazalardan çıkarılması nedeniyle boş raflar ve belirli ürünlerin sınırlı kullanılabilirliği yaşadı.
Saldırganların – dağınık örümcek hackleme kolektifinin üyeleri olduğundan veya başlangıç erişimini kazanmak için aynı taktikleri kullandıkları, daha sonra DragonForce Encrityor’u kullanmanın – müşteri veya şirket verileriyle yapılıp çıkmadığı hala doğrulanmamıştır.
Geçen hafta, ünlü lüks Londra mağazasını işleten Harrods Group Hardrods“siber saldırı girişiminde” yönettiklerini ve “sistemleri güvende tutmak için acil adımlar attıklarını” söyledi. M&S’den farklı olarak, Harrods çevrimiçi mağazasını çalıştırıyor.
Nihayet: Kooperatifdiğer şeylerin yanı sıra bir bakkal perakende işi yürüten bir İngiliz tüketici kooperatifi, geçen Çarşamba günü de vurulduğunu ve saldırganları savuşturmak için “proaktif önlemler” aldıklarını doğruladı.
Ancak BBC’ye göre, saldırganlar – görünüşte M&S ve hedeflenen Harrods’u ihlal eden aynı grup – resmi onaydan günler önce BT ağlarına ve sistemlerine sızmayı başardılar, milyonlarca üye, müşterisi ve çalışanının özel bilgilerini çaldı ve ödenmezse serbest bırakma tehdidinde bulundular.
Daha yakın zamanlarda, kooperatif CEO’su Shirine Khoury-Haq, saldırganların “isim, doğum tarihi ve iletişim bilgileri içeren sınırlı miktarda üye veriye erişebildiklerini, ancak herhangi bir üyenin finansal bilgilerine erişemediklerini” doğruladı.
“Şifreler tehlikeye girmedi ve üyelerden farklı bir şey yapmalarını istemiyoruz” diye ekledi.
Hacking Group görünüşe göre aynı taktiği ilk erişim elde etmek için kullandı: sosyal olarak tasarlanmış bir çalışan, şifreyi sıfırlayarak hesaplarını devraldı, hesabı ko-op ağına erişmek için kullandı, sonra Active Directory’nin (Windows) peşinden gitti ntds.dit Çalışan hesapları için şifreli kimlik bilgilerini tutan veritabanı dosyası.
Henüz fidye yazılımlarının kooperatif sistemlerine konuşlandırılmasından bahsedilmemiştir.
Savunucular için tavsiyeler
Birleşik Krallık Ulusal Siber Güvenlik Merkezi, NCSC’nin ulusal esneklik direktörü Jonathon Ellison ve merkezin CTO’su Ollie Whitehouse Pazar günü yorum yaptı.
“İçgörülerimiz olsa da, bu saldırıların bağlantılı olup olmadığını, bu tek bir aktör tarafından uyumlu bir kampanya olup olmadığını veya aralarında hiçbir bağlantı olup olmadığını söyleyecek bir konumda değiliz. Bunu tespit etmek için kurbanlarla ve kolluk meslektaşlarıyla çalışıyoruz” dedi.
Siber güvenlik araştırmacısı Kevin Beaumont, gün içinde kooperatif için çalışıyor ve hala bir üye müşteri olan, şirketi saldırının ciddiyetini küçümsemek ve etkilenen personeli ve üye incelemelerini derhal veya tam olarak bilgilendirmediği için eleştirdi.
Ayrıca, saldırganların dağınık örümcek kolektifinin bir parçası olabileceğini veya olmayabileceğini, ancak aynı manouvresleri kullandıklarını, en belirgin şekilde, şirket olarak poz verdiklerini ve gerçek çalışanları hesap kimlik bilgilerini (OTP), bir kerelik pass (OTP) veya çok yönlü kimlik doğrulama (mFA) (MFA bombardımanını kullanma veya SIM quapping’i kullanma konusunda kandırmak için yardım masası yaptıklarını belirtti.
“Erişim olduklarında, arazide yaşıyorlar – ekipleri kullanarak, belgeleri bulmak için ofis araması, eserler” dedi.
“Kilit olan şey: Dahili çalışanlarınız algılamadan önce haydut gidip önemli hasara neden olabilirse, harici bir e-suç grubu ‘bir çalışan haline gelirse ciddi bir sorununuz var. Bu nedenle Microsoft 365, VPN’ler ve sanal masaüstü sistemleri aracılığıyla erişim elde etmeyi durdurmanız ve/veya/veya hileli hesapları algılayabilmeniz gerekir.”
Savunucular için ek tavsiyeler verdi ve onlara bu tür saldırıları nasıl koruyacağını öğrenmek için CISA’nın Lapsus $ ve dağınık örümcek hakkındaki önceki raporlarını gözden geçirmelerini söyledi.
“Marks ve Spencer, Co-op ve Harrods saldırıları bağlantılı” diye ekledi. “Dragonforce’un güzel PR ekibi daha fazlasının geleceğini iddia ediyor.”
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!