يتعرض تجار التجزئة في الولايات المتحدة الآن للهجوم من عنكبوت مبعثر، مجموعة القرصنة الناطقة باللغة الإنجليزية والتي يشتبه في أنها خلف سلسلة من هجمات Dragonforce Ransomware في متاجر الشوارع العالية ماركس وسبنسر (M & S) و التعاون، وفقًا لمجموعة Google That Intelligence Group (GTIG).
وقالت GTIG وأصوابه في وحدة التهديد Mandiant التهديد Mandiant من Google إن الهجمات الإلكترونية لا تزال قيد التحقيق ، ولأسباب خصوصية لم يسمي الباحثون أي ضحايا في الولايات المتحدة. تمسك الفريق أيضًا من توفير أي إسناد رسمي في هذا الوقت.
“إن قطاع البيع بالتجزئة في الولايات المتحدة مستهدف حاليًا في عمليات الفدية والابتزاز التي نشتبه في أنها مرتبطة بـ UNC3944 ، والمعروفة أيضًا باسم العنكبوت المتناثر” ، قال كبير المحللين في GTIG لـ Computer Weekly عبر البريد الإلكتروني بعد ظهر هذا اليوم.
وقال هولتويست: “الممثل ، الذي قيل إنه استهدف البيع بالتجزئة في المملكة المتحدة بعد توقف طويل ، له تاريخ في تركيز جهوده على قطاع واحد في وقت واحد ، ونتوقع أن يستمروا في استهداف القطاع على المدى القريب. يجب على تجار التجزئة الأمريكيين ملاحظة”.
وصف Hultquist العنكبوت المتناثر بأنه عدواني ، مبدع ، ومهارة للغاية في التحايل على حتى البرامج الأمنية الأكثر نضجا والدفاعات.
“لقد حققوا نجاحًا كبيرًا في الهندسة الاجتماعية والاستفادة من أطراف ثالثة للدخول إلى أهدافهم. قدمت مانديانت دليل تصلب بناءً على تجربتنا مع مزيد من التفاصيل حول تكتيكاتها والخطوات ، يمكن للمنظمات اتخاذها للدفاع عن نفسها “، قال Hultquist.
الهوية ، المصادقة خط الدفاع الأول
عند الدفاع عن العنكبوت المتناثر ، فإن تصلب ممارسات التحقق من الهوية والمصادقة لها أهمية قصوى.
لقد أثبتت العصابة فعاليتها للغاية في استخدام تقنيات الهندسة الاجتماعية لانتحال شخصية المستخدمين الذين يتواصلون مع ضحايا المساعدة في تكنولوجيا المعلومات ، وذلك كخطوة أولى ، سيحتاج موظفو HELPDESK إلى تدريب إضافي لتحديد الاتصالات الواردة بشكل إيجابي ، باستخدام أساليب مثل الكاميرا أو التحقق الشخصي أو التحقق من الهوية الحكومية أو أسئلة الاستجابة.
قد ترغب فرق الأمان أيضًا في النظر في تعطيل أو تعزيز الصحة بشكل مؤقت ، لإعادة ضبط كلمة مرور الخدمة الذاتية ، وتوجيه كل من هذه المصادقة والمصادقة متعددة العوامل من خلال سير العمل اليدوي للمساعدة في الوقت الحالي. يجب أيضًا إجراء الموظفين للمصادقة قبل تغيير طرق المصادقة ، مثل إضافة رقم هاتف جديد.
يمكن أن تنفذ فرق الأمن أيضًا ضمانات إضافية مثل طلب تغييرات من مواقع المكاتب الموثوقة ، أو استخدام التحقق خارج النطاق ، مثل الاتصال إلى رقم الهاتف المحمول المسجل للموظف ، قبل المتابعة بطلب حساس.
قد يكون من المفيد أيضًا التفكير في اتخاذ خطوات مثل حظر الرسائل القصيرة أو المكالمة الهاتفية أو البريد الإلكتروني كعناصر تحكم في المصادقة ، وذلك باستخدام تطبيقات MFA المقاومة للتصيد ، واستخدام مفاتيح الأمان FIDO2 للهويات المميزة. في نهاية المطاف ، قال مانديان ، يجب أن يكون الهدف هو الانتقال إلى مصادقة بدون كلمة مرور إن أمكن.
على نطاق أوسع ، ينبغي تعليم الموظفين غير IT تجنب الاعتماد على البيانات المتاحة للجمهور للتحقق ، مثل تواريخ الميلاد ، أو آخر أربعة أرقام من أرقام الضمان الاجتماعي الأمريكي.
مع عدم وجود تجار تجزئة في الولايات المتحدة ، أطلق عليهم اسم ضحايا حملة العنكبوت المتناثرة ، نيك آدمز ، المؤسس المشارك والرئيس التنفيذي في 0rcus، منصة أتمتة الأمن ، قالت إن هويات الضحايا كانت غير ذات صلة إلى حد كبير بالنظر إلى الالتهاب السلبي لسلسلة التهديد.
“سواء أكان Dragonforce أو العنكبوت المبعثر أو حلقة تابعة مشتركة ، فإن التسلل غير ذي صلة. من يهتم الجحيم. يثبت التداخل في TTPs تصنيع التسوية. لا يحتاج الممثلون للتهديد إلى استمرار في عملية تعامل مع هذه العميل. وقال آدمز:
“التصيد ، وإساءة استخدام الفضل ، و Cobalt Strike ، و Lotl Movement ، وأنفاق SystemBC ، واستخراج Mimikatz ، وبيانات التدريج إلى Mega أصبحت الآن سلسلة قتل سلعة. ما جاء بعد ذلك هو التزامن: الوصول الكامل ، التوسع الجانبي ، وتجهيز البيانات ، والتشفير الانتقائي ، والرافعة المالية.
دعا آدمز المنظمات إلى البدء في التفكير مثل الجهات الفاعلة للتهديد. وقال: “سوف يتبع الانتهاك التالي نفس المسار. بنقرة واحدة ، طبقة دفاعية غائبة.
“إن الإرساليات التي تنجو من ما سيحدث هي تلك التي تضمنت منطق التهديد على مستوى البروتوكول ، وتعيين الوصول إلى الجذر للمشغلين الذين يعرفون ما يبنيهم الخصوم ، ويتوقفون عن تضليل الجميع من خلال التأكيد على أن الامتثال يساوي السيطرة.
مطالبة التأمين M&S من المحتمل أن تتصدر 100 مليون جنيه إسترليني
بالعودة إلى المملكة المتحدة ، اقترحت التقارير اليوم (14 مايو) أن شركات التأمين على M&S قد تجد نفسها على خطاف ما يصل إلى 100 مليون جنيه إسترليني بعد هجوم الفدية ، مع تعرض أليانز وبيزلي بشكل خاص.
وفقا ل الأوقات الماليةو من المحتمل أن تغطي المطالبة خسائر المبيعات المفقودة عبر الإنترنت وخرق البيانات بعد سرقة بيانات العميل من أنظمة بائع التجزئة. لقد فقدت M&S بالفعل عشرات الملايين من الجنيهات نتيجة للهجوم السيبراني ، الذي ترك سلاسل الإمداد الغذائي في حالة من الفوضى.
