„Co-op“ „Cybernack“ yra daug blogesnis, nei pranešta iš pradžių, o bendrovė dabar patvirtina, kad duomenys buvo pavogti daugybei dabartinių ir buvusių klientų.
„Dėl vykdomų kriminalistinių tyrimų dabar mes žinome, kad įsilaužėliai galėjo prieiti ir gauti duomenis iš vienos iš mūsų sistemų“,-„Co-op“ pasakojo „Bleepingcomputer“.
„Prieinami duomenys apėmė informaciją, susijusią su daugybe mūsų dabartinių ir buvusių narių skaičiaus.”
„Šie duomenys apima„ Co-op “grupės narių asmens duomenis, tokius kaip vardai ir kontaktinė informacija, ir neįtraukė narių slaptažodžių, banko ar kreditinės kortelės informacijos, operacijų ar informacijos, susijusios su bet kokių narių ar klientų produktais ar paslaugomis kartu su„ Co-op Group “.”
Trečiadienį JK mažmeninės prekybos milžinė „Co-op“ sumažino „Cyberpack“, teigdama, kad ji uždarė savo IT sistemų dalis, aptikusi bandymą įsibrauti į savo tinklą.
Tačiau netrukus po to, kai naujienos nutrūko, „Bleepingcomputer“ sužinojo, kad bendrovė iš tikrųjų patyrė pažeidimą, naudodama taktiką, susijusią su išsklaidytu voras/Octo Tempest, tačiau jų gynyba neleido grėsmės veikėjams padaryti didelę žalą tinklui.
Šaltiniai pasakojo „Bleepingcomputer“, kad manoma, kad išpuolis įvyko balandžio 22 d., Kai grėsmės aktoriai panaudojo taktiką, panašią į „Marks“ ir „Spencer“ išpuolius. Pranešama, kad grėsmės veikėjai surengė socialinę inžinerinę ataką, kuri leido jiems iš naujo nustatyti darbuotojo slaptažodį, kuris vėliau buvo naudojamas pažeisti tinklą.
Gavę prieigą prie tinklo, jie pavogė „Windows NTDS.DIT“ failą – „Windows Active Directory“ paslaugų duomenų bazę, kurioje yra „Windows“ paskyrų slaptažodžių maišos.
„Co-op“ dabar atkuria visus savo „Windows“ domenų valdiklius ir sukietėja ENTRA ID, naudodamas „Microsoft Dart“. KPMG padeda AWS palaikymui.
Vakar pasidalinusi šia informacija su „Co-op“, bendrovė teigė, kad ji neturėjo nieko daugiau pasidalyti ir atsiuntė mums savo pirminį pareiškimą.
Ar turite informacijos apie šį ar kitą kibernetinį išpuolį? Jei norite pasidalyti informacija, galite saugiai ir konfidencialiai susisiekti su mumis „Lawrencea.11“, el. Paštu adresu lawrence.abrams@bleepingcomputer.com arba naudodamiesi mūsų patarimų forma.
„Dragonforce Ransomware“ už atakos
Šiandien BBC pirmą kartą pranešė, kad „Dragonforce Ransomware“ operacijos filialai, tie patys įsilaužėliai, kurie pažeidė M&S, taip pat yra už „Co-op“ išpuolio.
BBC korespondentas Joe Tidy kalbėjo su „Dragonforce“ operatoriumi, kuris patvirtino, kad jie yra už išpuolio, ir pasidalino įmonių ir klientų duomenų, pavogtų išpuolio metu, pavyzdžių. Grėsmės veikėjai teigia, kad turi 20 milijonų žmonių, užsiregistravusių „Co-op“ narystės atlygio programai, duomenis.
Grėsmės aktoriai pareiškė, kad susisiekė su „Co-op“ kibernetinio saugumo vadovu ir kitais vadovais, naudodamiesi „Microsoft“ komandų pranešimais, dalijantis ekrano su BBC ekrano vaizdais.
Po išpuolio „Co-op“ darbuotojams atsiuntė vidinį el. Laišką, įspėjantį juos budriai, kai naudojasi „Microsoft“ komandomis, ir nesidalyti neskelbtinais duomenimis, greičiausiai dėl susirūpinimo, kad įsilaužėliai vis dar turėjo prieigą prie platformos.
Grėsmės aktoriai taip pat tvirtino BBC, kad jie buvo už bandymo kibernetiniam išpuoliui ant Harrodso.
„DragonForce“ yra „Ransomware-A-A-Service“ operacija, kai kiti kibernetiniai nusikaltėliai gali prisijungti kaip dukterinės įmonės, kad galėtų naudoti savo „Ransomware“ šifravatorius ir derybų svetaines. Mainais „Dragonforce“ operatoriai gauna 20–30% visų išpirkų, kurias moka išklotos aukos.
Atakose dukterinės įmonės pažeis tinklą, pavogs duomenis ir galiausiai diegs kenkėjišką programą, kuri užšifruoja failus visuose serveriuose ir darbo vietose. Tada grėsmės veikėjai reikalauja išpirkos išmokos, kad gautų iššiftorių ir pažadėtų, kad pavogti duomenys bus ištrinti.
Jei išpirkos nemokama, „Ransomware“ operacija paprastai skelbia pavogtus duomenis jų tamsiame žiniatinklio duomenų nutekėjimo svetainėje.
„DragonForce“ yra palyginti nauja operacija, tačiau ruošiasi būti viena ryškiausių „Ransomware“ erdvėje.
Manoma, kad jie bendradarbiauja su anglakalbiais grėsmės veikėjais, kurie atitinka konkretų taktikos rinkinį, susijusį su pavadinimu „Išsklaidytas voras“ arba „Octo Tempest“.
Šie grėsmės veikėjai yra socialinių inžinerinių atakų, SIM apsikeitimo ir URM nuovargio atakų ekspertai, kad būtų galima pažeisti tinklus ir pavogti duomenis arba diegti išpirkos programas. Yra žinoma, kad grėsmės veikėjai agresyviai išplėtė savo aukas.
Aišku, „Scatted Spider“ nėra gauja ar grupė, turinti konkrečius narius. Vietoj to, jie yra amorfinė finansiškai motyvuotų grėsmių veikėjų bendruomenė, kuri susirenka tais pačiais telegramų kanalais, nesantaikos serveriais ir įsilaužimo forumais.
Kadangi jie yra „išsibarstę“ visame elektroninių nusikaltimų kraštovaizdyje, teisėsaugai sunkiau sekti atskirus žmones, susijusius su išpuoliu.
Originalūs grėsmės aktoriai, susiję su išsklaidytu vorų klasifikacija, buvo už daugybės atakų, įskaitant MGM ir Reddit.
Kai kuriuos, jei ne visus, šių originalių įsilaužėlių dabar sulaikė JAV, Jungtinė Karalystė ir Ispanija.
Tačiau anksčiau nežinomi įsilaužėliai ar kopijavimo katės dabar naudoja tuos pačius metodus, kad padidintų išpuolius.
Kibernetinio saugumo tyrėjas Will'as Tomas sukūrė rekomenduojamą ginti nuo išsibarsčiusių vorų išpuolių vadovą.
Remdamiesi 14 m kenkėjiškų veiksmų analize, atraskite 10 geriausių „MitRAT ATT & CK“ metodų, esančių už 93% išpuolių ir kaip ginti nuo jų.
