Vykstant Didžiosios Britanijos mažmeninės prekybos milžiniškų „Marks & Spencer“ nutraukimus sukelia išpirkos programų ataka, kurią, kaip manoma, vykdo įsilaužimo kolektyvas, žinomas kaip „Scatter Spider“, „Bleepingcomputer“ išmoko iš kelių šaltinių.
„Marks & Spencer“ (M&S) yra britų tarptautinis mažmenininkas, kuriame dirba 64 000 darbuotojų ir parduoda įvairius produktus, įskaitant drabužius, maistą ir namų prekes daugiau nei 1400 parduotuvių visame pasaulyje.
Praėjusį antradienį „M&S“ patvirtino, kad ji patyrė kibernetinę išpuolį, kuris sukėlė plačius sutrikimus, įskaitant savo bekontakčių mokėjimo sistemą ir užsakymą internetu. Šiandien „Sky News“ pranešė, kad sutrikimas tęsiasi: maždaug 200 sandėlių darbuotojų liepė likti namuose, nes įmonė reaguoja į išpuolį.
„BleepingComputer“ dabar sužinojo, kad vykstančius nutraukimus sukelia išpirkos programos ataka, kuri užšifruoja bendrovės serverius.
Manoma, kad grėsmės veikėjai pirmą kartą pažeidė „M&S“ jau vasario mėnesį, kai, kaip pranešama, jie pavogė „Windows“ domeno NTDS.DIT failą.
NTDS.DIT failas yra pagrindinė „Active Directory“ paslaugų duomenų bazė, veikianti „Windows“ domeno valdiklyje. Šiame faile yra „Windows“ paskyrų slaptažodžių maišos, kurias gali išgauti grėsmės veikėjai ir nulaužta neprisijungus, norint gauti prieigą prie susijusių paprasto teksto slaptažodžių.
Naudodamas šiuos kredencialus, grėsmės aktorius tada gali pasiskirstyti į šoną visame „Windows“ domene, pavogdamas duomenis iš tinklo įrenginių ir serverių.
Šaltiniai „BleepingComputer“ teigė, kad grėsmės veikėjai balandžio 24 d. Galiausiai panaudojo „Dragonforce“ šifravimą „VMware ESXi“ šeimininkams, kad šifruotų virtualias mašinas.
„Bleepingcomputer“ sužinojo, kad Marksas ir Spenceris paprašė pagalbos iš „Crowdstrike“, „Microsoft“ ir „Fenix24“, kad galėtų ištirti ir reaguoti į puolimą.
Iki šiol tyrimas rodo, kad už išpuolio yra įsilaužimo kolektyvas, žinomas kaip išsklaidytas voras, arba kaip juos vadina „Microsoft“, „Octo Tempest“.
Susisiekę su šia informacija, „M&S“ teigė, kad jie negalėjo išsiaiškinti apie kibernetinį įvykį.
Ar turite informacijos apie šį ar kitą kibernetinį išpuolį? Jei norite pasidalyti informacija, galite saugiai ir konfidencialiai susisiekti su mumis „Lawrencea.11“, el. Paštu adresu lawrence.abrams@bleepingcomputer.com arba naudodamiesi mūsų patarimų forma.
Kas yra išsibarstęs voras?
Išsklaidytas voras, dar žinomas kaip 0ktapus, žvaigždė, UNC3944, „Scatter“ kiaulės, „Octo Tempest“ ir „Muddled Svarstyklės“, yra grėsmės veikėjų grupė, kuri naudojasi socialinėmis inžinerijos atakomis, sukčiavimu, sukčiavimu, daugiafaktoriniu tinklu (MFA) bombardavimas (tikslinė MFA fatgue) ir SIM keitimąsi, kad gautų pradinę tinklo prieigą prie didelių organizacijų.
Grupėje yra jauni anglakalbiai nariai (jau jauni iki 16 metų) su įvairiais įgūdžių rinkiniais, kurie dažnai lankosi tie patys įsilaužėlių forumai, telegramos kanalai ir nesantaikos serveriai. Tada šios terpės naudojamos išpuoliams planuoti ir atlikti realiuoju laiku.
Manoma, kad kai kurie nariai yra „komiksų“ dalis – laisvai megzta bendruomenė, susijusi su smurtiniais veiksmais ir kibernetiniais incidentais, kurie sulaukė plataus žiniasklaidos dėmesio.
Nors žiniasklaida ir tyrėjai paprastai išsklaidė vorą kaip darnią gaują, jie iš tikrųjų yra asmenų tinklas, kuriame kiekvienoje atakoje dalyvauja skirtingi grėsmės veikėjai. Dėl šios skysčio struktūros sunku juos sekti.
Iš pradžių grupė pradėjo finansinę sukčiavimą ir socialinės žiniasklaidos įsilaužimus, tačiau vėliau pasistūmėjo į ypač sudėtingas socialinės inžinerijos išpuolius, kad pavogtų asmenų kriptovaliutą ar pažeidimo korporacijas, vykdant turto prievartavimo išpuolius.
Grupė išaugino savo išpuolius 2023 m. Rugsėjo mėn., Kai jie pažeidė „MGM Resorts“, naudodamiesi socialine inžinerine ataka, apsimestinančia darbuotojui, kai skambinant į įmonės IT pagalbos tarnybą. Šioje atakoje grėsmės veikėjai dislokavo „Blackcat Ransomware“, kad užšifruotų daugiau nei 100 VMWare ESXI hipervizorių.
Tai buvo pagrindinis „Ransomware“ kraštovaizdžio momentas, nes tai buvo pirmasis žinomas požymis, kad anglakalbiai grėsmės aktoriai dirbo su rusų kalbančiomis „Ransomware“ gaujomis.
Nuo to laiko buvo žinoma, kad „Scatter Spider“ veikia kaip filialai „Ransomhub“, „Qilin“ ir dabar „Dragonforce“.
„DragonForce“ yra „Ransomware“ operacija, pradėta 2023 m. Gruodžio mėn., Ir neseniai pradėjo reklamuoti naują paslaugą, kurioje jie leidžia elektroninių nusikaltimų komandoms baltaodžiuoti savo paslaugas.
Tyrėjai dažniausiai sieja išpuolius su išsklaidyta voratinklio grupe, remdamiesi konkrečiais kompromiso rodikliais, įskaitant kvalifikaciją vairuoti sukčiavimo sukčiavimo išpuolius, nukreiptus į SSO platformas, socialinių inžinerinių atakų, apsimetančių IT darbalaukį, ir kita taktika.
Kibernetinio saugumo įmonė „Silent Push“ anksčiau šį mėnesį išleido pranešimą, kuriame aprašoma naujausi „Scatter Spider“ sukčiavimo išpuoliai.
Per pastaruosius dvejus metus teisėsauga vis labiau nukreipė į grupę, areštuodama kelis įtariamus narius JAV, Jungtinėje Karalystėje ir Ispanijoje.
