شهدت عطلة نهاية الأسبوع في عطلة البنوك تعطلًا مستمرًا من سلسلة من الهجمات الإلكترونية في قطاع البيع بالتجزئة في المملكة المتحدة والتي تكشفت خلال الأسبوعين الماضيين ، مع ظهور فجوات على الرفوف في Marks and Spencer (M & S) و Co-op.
الهجمات ، التي بدأت خلال عطلة عيد الفصح ، تم المطالبة بها من قبل ممثلي Dragonforce الفدية-كخدمة (RAAS) العملية. تم ربطهم أولاً بـ العنكبوت المبعثر والكوم، اثنين من جماعيات القرصنة الناطقين باللغة الإنجليزية ، تعمل كشركة تابعة Dragonforce.
في تحديث إضافي خلال عطلة نهاية الأسبوع ، أخبرت شيرين خوري هاك ، الرئيس التنفيذي لشركة Co-OP للعملاء عبر البريد الإلكتروني أن المجرمين السيبرانيين الذين يقفون وراء الهجوم كانوا “متطورين للغاية” وأن إدارة شدتها تعني أن هناك خدمات متعددة يجب أن تظل معلقة.
كرر Khoury-Haq أن بيانات العميل قد تأثرت في الهجوم. وقالت: “من الواضح أن هذا أمر محزن للغاية بالنسبة لزملائنا وأعضائنا ، وأنا آسف جدًا لحدث ذلك. نحن ندرك أهمية حماية البيانات ونأخذ التزاماتنا تجاهك أنت ومنظمينا على محمل الجد ، خاصةً كمنظمة مملوكة للأعضاء”.
يبدو أن البيانات المتأثرة عن أعضاء التعاونية تتضمن أسماء وتواريخ الميلاد والاتصال ، ولكن ليس كلمات المرور أو التفاصيل المالية أو أي معلومات عن عادات التسوق للأعضاء أو التفاعلات الأخرى مع المؤسسة.
Dragonforce ، مجموعة Ransomware-As-service ذات العلامات البيضاء التي تدعي مسؤولية جميع الهجمات الثلاثة ، شاركت في السابق عينة من هذه البيانات على حوالي 10،000 من أعضاء التعاون مع بي بي سي وأخبر الصحفيون أن تجار التجزئة الآخرين في المملكة المتحدة كانوا في قائمة سوداء.
وفي الوقت نفسه ، المطلعين على M&S – التحدث إلى Sky News – كشف كيف أجبر موظفو تكنولوجيا المعلومات على النوم في المكتب وسط الفوضى. وصف الموظفون كيف أن نقص التخطيط لمثل هذا السيناريو أدى إلى فوضى داخل M&S ، وقالوا إنه قد يكون طولًا كبيرًا من الوقت قبل أن تبدأ الأمور في العودة إلى طبيعتها.
ال المركز الوطني للأمن السيبراني وقال (NCSC) جوناثان إليسون وأولي وايتوس ، مدير المرونة الوطنية والموظفون في مجال التكنولوجيا على التوالي: “تعمل NCSC مع المنظمات المتأثرة بالحوادث الأخيرة لفهم طبيعة الهجمات وتقليل الضرر الذي لحق به ، وتقديم المشورة للقطاع والاقتصاد الأوسع.
“في حين أن لدينا رؤى ، فإننا لسنا في وضع يسمح لنا بعد أن نقول ما إذا كانت هذه الهجمات مرتبطة ، إذا كانت هذه حملة متضافرة من قبل ممثل واحد ، أو ما إذا كان لا يوجد صلة بينهما على الإطلاق. نحن نعمل مع الضحايا وزملاؤه في إنفاذ القانون للتأكد من ذلك” ، قالوا. “
وأضاف إليسون و Whitehouse: “إننا نشارك أيضًا ما نعرفه مع الشركات المعنية والقطاع الأوسع-من خلال مجموعات الثقة التي تركز على القطاع التي تديرها NCSC-وتشجيع الشركات على مشاركة تجاربها وتخفيفها مع بعضها البعض”.
ما هو Dragonforce؟
الحارس قال باحث التهديد الكبير جيم والتر إن دراغونفورس بدأ كشبكة هاكتيفيا مقرها ماليزيا تدعم الأسباب الفلسطينية ، ولكن منذ ظهورها في صيف عام 2023 ، فقد تم محورها لنموذج هجين من الاختراق السياسي والتزامن الفاتر.
وقد استهدف العديد من الهيئات الحكومية في إسرائيل والهند والمملكة العربية السعودية والمملكة المتحدة ، وكذلك الشركات التجارية والمنظمات التي تتماشى مع أسباب سياسية محددة.
تبرز موجة الهجمات ضد أعمال المملكة المتحدة الحاجة المستمرة لممارسات وسياسات الأمن السيبراني القوية ، إلى جانب إجراءات الاستجابة للحوادث المتطورة بشكل جيد
جيم والتر ، سينتينيلون
وقال والترز إنه على الرغم من أن بعض مكونات الهجمات قد نسبت إلى شركة تابعة ، إلا أن هناك نقصًا في أدلة فنية قوية في هذا الصدد ، على الرغم من وجود خصائص سلوكية وتشغيلية واضحة تتفق مع الهجمات من العنكبوت المتناثر و COM.
“بينما يستمر Dragonforce في تحطيم الخط الفاصل بين الاختراق والدوافع المالية ، فإن استهدافها الأخير يشير إلى أن المجموعة مدفوعة بشكل متزايد بالمكافآت المالية” ، كتب والترز ” في منشور مدونة.
“على الرغم من أن نموذج كارتل Dragonforce على نطاق واسع ليس هو الأول من نوعه ، إلا أن نجاحاته الحالية والزوال الأخير للعمليات المتنافسة تشير إلى أنه سيصبح جذابًا بشكل متزايد لممثلي فدية يتيم ومجموعات أكثر موارد تتطلع إلى الازدهار في مساحة تنافسية متزايدة.
“تبرز موجة الهجمات ضد أعمال المملكة المتحدة في الأسابيع الأخيرة الحاجة المستمرة إلى ممارسات وسياسات الأمن السيبراني القوية ، إلى جانب إجراءات الاستجابة للحوادث المتطورة.”
عادةً ما تمكن Dragonforce ، أو الشركات التابعة لها ، من الوصول إلى بيئات الضحايا الخاصة بهم باستخدام مجموعة من رسائل البريد الإلكتروني المستهدفة واستغلال نقاط الضعف المعروفة. لقد فضلوا العديد من “المعمرة هاردي” ، بما في ذلك Log4J وذوي نقاط الضعف في Ivanti البارزة.
من المعروف أيضًا أنه يستخدم بيانات الاعتماد المسروقة – قد يكون هذا هو الحال في حادث M&S ، أو هجمات حشو بيانات الاعتماد مقابل خدمات بروتوكول سطح المكتب عن بُعد (RDP) أو الشبكات الخاصة الافتراضية (VPNS).
عادةً ما يستخدم Cobalt Strike وأدوات مماثلة لتشغيل حملاته ، وأدوات الإدارة عن بُعد مثل Mimikatz ، وماسحة IP المتقدمة و Pingcastle لإجراء الحركة الجانبية ، وإثبات الثبات ورفع امتيازها. هذه كلها سلوكيات نموذجية للغاية لعصابات الفدية.
حمولة Ransomware ، التي تم بناؤها في البداية بالكامل على التسرب Lockbit 3.0/خزانة أسودلقد تطورت في وقت متأخر إلى فدية مخصصة ذات علامات تجارية مع مزيد من الجذور في قاعدة كود كونتي. ميزات التشفير الخاصة بها خارج عن المألوف-وهي تستخدم AEs لتشفير الملفات الأولية و RSA لتأمين المفاتيح-على الرغم من أن العينات المستمدة من conti-تشفير مع خوارزمية Chacha8.
يمكن أن تستفيد الشركات التابعة من الأدوات المختلفة لإنشاء حمولات جديدة وإدارة الحملات ، مع المتغيرات المستهدفة للمنصات مثل Linux و VMware ESXI و Windows. يمكن أيضًا تخصيص الحمولة الحمولة بشكل كبير في سلوكها ، لذلك يمكن أن تملي الشركات التابعة ، على سبيل المثال ، ما هي الامتدادات التي يرغبون في إلحاقها ، نصوص سطر الأوامر المختلفة ، والسماح وإنكار قوائم تشفير الملفات. يمكنهم حتى إعداد التنفيذ المتأخر إذا كانوا يرغبون.
بالنسبة لعملية الترشيح ، هناك خيارات متعددة ممكنة ، ويمكن أيضًا إنشاء فرق تعاونية داخل لوحة التحكم في Ransomware ، مما يتيح لهم العمل بشكل أكثر فعالية معًا والتواصل والتنسيق مع الضحايا
في الآونة الأخيرة ، قدمت Dragonforce خدمة جديدة صياغة تتيح لشركة Affiliates لف Ransomware في علامتها التجارية الخاصة مقابل رسوم إضافية ، وتتوسع إلى خدمة أكثر نشاطًا للكارتل ، كما أوضح Walters.
