JK mažmeninės prekybos įmonė „Co-op“ patvirtino, kad balandžio mėn. „Massive Cyberpack“ pavogė 6,5 milijono narių asmens duomenis, kurie uždarė sistemas ir sukėlė maisto trūkumą maisto prekių parduotuvėse.
„Co-op“ (trumpa kooperatyvų grupei) yra vienas didžiausių Jungtinės Karalystės vartotojų kooperatyvų, maisto parduotuvių, laidojimo paslaugų, draudimo ir teisinių paslaugų. Ji priklauso milijonams narių, kurie gauna nuolaidas paslaugoms ir dalijasi įmonės valdyme.
„Co-op“ generalinis direktorius Shirine Khoury-Haq šiandien atsiprašė per BBC pusryčių parodą, patvirtindama, kad užpuolikai sėkmingai pavogė visų 6,5 milijono narių duomenis.
„Jų duomenys buvo nukopijuoti, o nusikaltėliai turėjo prieigą prie jo, kaip jie daro nulaužus kitas organizacijas. Tai, deja, yra baisi to dalis”,-sakė Khoury-Haq.
Nors išpuolyje nebuvo atskleista jokios finansinės ar operacijų informacijos, jos narių kontaktinė informacija buvo pavogta.
Generalinis direktorius teigė, kad pažeidimas jautėsi kaip asmeninis išpuolis ne jai, o veikiau „Co-op“ nariams ir darbuotojams, kurie turėjo įtakos.
„Ir tai ne apie mane. Tai buvo mano kolegos. Man tai buvo asmeniška, nes tai juos įskaudino. Tai įskaudino mano narius. Jie paėmė jų duomenis ir įskaudino mūsų klientus ir tai, kad aš asmeniškai imu”, – aiškino ji interviu.
Kibernetinis puolimas įvyko balandžio mėn., Priversdama „Co-op“ uždaryti keletą IT sistemų, kad grėsmės veikėjai negalėtų toliau pasiskirstyti į įrenginius ir galiausiai dislokuoti „Dragonforce Ransomware“ šifravimą.
Iš pradžių sumenkinta kaip bandymas įsibrauti į savo tinklą, vėliau įmonė patvirtino, kad išpuolio metu buvo pasiektas ir pavogtas „reikšmingas“ duomenų kiekis.
Šaltiniai tuo metu „Bleepingcomputer“ teigė, kad pažeidimas iš pradžių įvyko balandžio 22 d., Po to, kai grėsmės veikėjai surengė socialinę inžinerinę ataką, kuri leido jiems iš naujo nustatyti darbuotojo slaptažodį.
Gavę prieigą prie tinklo, jie išplito į kitus įrenginius ir galiausiai pavogė „Windows“ domeno „Windows NTDS.DIT“ failą. Šis failas yra „Windows Active Directory“ paslaugų duomenų bazė, kurioje yra „Windows“ paskyrų slaptažodžių maišos.
Grėsmės aktoriai paprastai vagia šį failą, kad ištrauktų ir nulaužtų slaptažodžius neprisijungus, leisdami jiems toliau skleisti kitus tinklo įrenginius.
„Bleepingcomputer“ buvo pasakyta, kad ataka buvo susijusi su grėsmės veikėjais, susijusiais su išsklaidytu voras, kurie buvo susieti su „Marks & Spencer“ (M&S) kibernetine pata, kur buvo dislokuota „Dragonforce Ransomware“.
BBC pranešė, kad jie kalbėjo su „Dragonforce Ransomware“ operatoriumi apie „Co-op“, kuris patvirtino, kad vienas iš jo filialų buvo už išpuolio. Jie taip pat dalijosi duomenų pavyzdžiais su BBC, teigdami, kad išpuolio metu buvo pavogti „Co-op“ įmonių ir klientų duomenys.
Praėjusią savaitę JK nacionalinė nusikaltimų agentūra (NCA) areštavo keturis žmones, kurie, kaip įtariama, dalyvavo išpuoliuose prieš „Co-op“, „M&S“ ir bandymą atlikti Harrodsą.
Sulaikyti asmenys yra du 19-metės vyrai, vienas 17 metų vyras ir 20-metė moteris, kurios buvo sulaikytos Londone ir Vakarų Midlanduose.
Pranešama, kad vienas iš areštuotų įtariamųjų yra susijęs su 2023 m. Išpuoliu prieš MGM kurortus, dėl kurių šifravimas buvo daugiau kaip 100 VMware ESXI virtualios mašinos.
MGM ataka taip pat buvo priskirta „Scatter Spider“, kuris tuo metu dirbo su „Blackcat Ransomware“ operacija.
Nors debesų atakos gali tapti sudėtingesnės, užpuolikai vis tiek pasiseka stebėtinai paprastomis technikomis.
Remiantis „Wiz“ aptikimais tūkstančiais organizacijų, šioje ataskaitoje pateikiami 8 pagrindiniai metodai, kuriuos naudoja „Cloud Fluent“ grėsmės veikėjai.
