因 DragonForce 攻击,Co-op 和 M&S 混乱蔓延

英国零售巨头Co-op与M&S因DragonForce攻击遭遇系统中断与部分客户信息泄露,目前网络安全专家和执法机构正全力调查攻击细节及防护措施。

银行假日周末期间,英国零售行业受到过去两周一系列网络攻击的持续干扰,Marks and Spencer ( M&S ) 与 Co-op 的货架上出现了缺货现象。

这些攻击始于复活节周末,已被 DragonForce 赎金软件即服务 ( RaaS ) 业务的代表宣称负责。最初这些攻击与 Scattered Spider 及 The Com 两个重叠的英语黑客团体联系在一起,这两个团体充当了 DragonForce 的附属机构。

在周末的进一步更新中,Co-op 首席执行官 Shirine Khoury-Haq 通过电子邮件告知客户,发动攻击的网络犯罪团伙“极为先进”,而为应对攻击的严重性,必须继续暂停多项服务。

Khoury-Haq 重申,此次攻击已影响到客户数据。“这对我们的同事和成员来说显然是极其令人不安的,我对此深感歉意。我们认识到数据保护的重要性,并且非常认真地履行对您和监管机构的责任,尤其作为一家会员拥有的组织。”她表示。

受影响的 Co-op 会员数据似乎包括姓名、出生日期与联系信息,但不包含密码、财务详情,也没有涉及会员的购物习惯或与组织的其他互动信息。

声称对全部三起攻击负责的 DragonForce 白标赎金软件即服务集团,曾先前与 BBC 分享过约 10,000 名 Co-op 会员数据的样本,并向记者透露其他英国零售商已被列入黑名单。

与此同时,M&S 内部人士在接受 Sky News 采访时透露,在混乱局势中,IT 员工被迫在办公室过夜。员工们描述,由于缺乏对这种情景的规划,M&S 内部陷入了一片混乱,并表示可能需要相当长的时间才能恢复正常状态。

国家网络安全中心 ( NCSC ) 的 Jonathan Ellison 与国家韧性主管兼首席技术官 Ollie Whitehouse 表示:“NCSC 正在与受到近期事件影响的组织合作,以了解攻击的性质并尽量减少损害,同时向更广泛的行业和经济提供建议。”

他们补充说:“虽然我们已有一些初步了解,但目前还不能确定这些攻击是否相互关联,是由单一行为者策划的联合行动,还是彼此之间毫无关联。我们正与受害者和执法部门的同事合作以厘清这一点。”

“我们也正通过 NCSC 运营的行业信任小组,与相关企业及更广泛的行业分享已掌握的信息,并鼓励各公司互通经验、分享应对措施,”Ellison 与 Whitehouse 补充道。

What is DragonForce?

SentinelOne 高级威胁研究员 Jim Walter 表示,DragonForce 最初作为一个总部位于马来西亚、支持巴勒斯坦事业的黑客行动网络出现,但自 2023 年夏季以来,该组织已转型为融合政治黑客主义与赎金软件勒索的混合模式。

该组织已将目标锁定在以色列、印度、沙特阿拉伯和英国的多个政府机构,以及与特定政治事业相关联的商业企业和组织。

这股针对英国企业的攻击浪潮凸显出,持续需要强有力的网络安全措施与政策,以及完善的事故响应程序。 – Jim Walter, SentinelOne

Walter 表示,虽然部分攻击环节被归因于某个附属机构,但在这方面缺乏有力的技术证据,尽管其行为与操作特征与 Scattered Spider 及 The Com 的攻击明显相符。

Walter 在博客文章中写道:“尽管 DragonForce 一直模糊黑客主义与经济动机之间的界限,其近期的目标显示,该组织正日益受到经济回报的驱动。”

“虽然 DragonForce 的大规模卡特尔模式并非首创,但其眼下的成功以及竞争对手行动的近期衰落表明,它将对缺乏资源的赎金软件行为者以及那些拥有充足资源、希望在竞争日趋激烈的领域中立足的团体愈发具有吸引力。”

“近几周针对英国企业的攻击浪潮再次凸显出,必须坚持实施强有力的网络安全措施与政策,以及建立完善的事故响应程序。”

DragonForce 或其附属机构通常通过结合目标性钓鱼邮件和利用已知漏洞的方式,进入受害者环境。他们偏爱利用一些‘顽强常客’,例如 Log4j 以及备受瞩目的 Ivanti 漏洞。

此外,他们还会利用被盗取的凭证——这可能就是 M&S 事件的作案方式,或者针对远程桌面协议 ( RDP ) 服务及虚拟专用网络 ( VPN ) 进行凭证堆叠攻击的原因。

通常,他们借助 Cobalt Strike 等工具执行攻击活动,并使用 mimikatz、Advanced IP Scanner 及 PingCastle 等远程管理工具,进行横向移动、建立持久性和提升权限。这些都是赎金软件团伙的典型行为。

最初完全基于泄露的 LockBit 3.0/Black locker 构建的赎金软件负载,最近已演进为一种定制品牌的赎金软件,其代码基础更多借鉴了 Conti。其加密特点稍显不同——采用 AES 作为主要文件加密方式,并使用 RSA 来保护密钥——而源自 Conti 的样本则使用 ChaCha8 算法进行加密。

附属机构可以利用多种工具构建新的负载并管理攻击活动,为 Linux、VMware ESXi 和 Windows 等平台提供针对性变体。这些负载的行为也能进行高度定制,使附属机构可以指定例如希望添加的扩展、不同的命令行脚本,以及文件加密的允许/拒绝名单,甚至可以根据需要设置延迟执行。

在数据外泄方面,有多种途径可供选择,附属机构还可以在赎金软件控制面板内建立协作团队,从而更加高效地协同工作、沟通与与受害者协调。

Walter 解释称,最近 DragonForce 推出了一项新的白标服务,允许附属机构支付额外费用后,将赎金软件贴上自家品牌,从而扩展为一种更为活跃的卡特尔型服务。

来源:Computer Weekly

0赞

好文章,需要你的鼓励

2025

05/08

11:19

分享

点赞

邮件订阅