因 DragonForce 攻击，Co-op 和 M&S 混乱蔓延

银行假日周末期间，英国零售行业受到过去两周一系列网络攻击的持续干扰，Marks and Spencer ( M&S ) 与 Co-op 的货架上出现了缺货现象。

这些攻击始于复活节周末，已被 DragonForce 赎金软件即服务 ( RaaS ) 业务的代表宣称负责。最初这些攻击与 Scattered Spider 及 The Com 两个重叠的英语黑客团体联系在一起，这两个团体充当了 DragonForce 的附属机构。

在周末的进一步更新中，Co-op 首席执行官 Shirine Khoury-Haq 通过电子邮件告知客户，发动攻击的网络犯罪团伙“极为先进”，而为应对攻击的严重性，必须继续暂停多项服务。

Khoury-Haq 重申，此次攻击已影响到客户数据。“这对我们的同事和成员来说显然是极其令人不安的，我对此深感歉意。我们认识到数据保护的重要性，并且非常认真地履行对您和监管机构的责任，尤其作为一家会员拥有的组织。”她表示。

受影响的 Co-op 会员数据似乎包括姓名、出生日期与联系信息，但不包含密码、财务详情，也没有涉及会员的购物习惯或与组织的其他互动信息。

声称对全部三起攻击负责的 DragonForce 白标赎金软件即服务集团，曾先前与 BBC 分享过约 10,000 名 Co-op 会员数据的样本，并向记者透露其他英国零售商已被列入黑名单。

与此同时，M&S 内部人士在接受 Sky News 采访时透露，在混乱局势中，IT 员工被迫在办公室过夜。员工们描述，由于缺乏对这种情景的规划，M&S 内部陷入了一片混乱，并表示可能需要相当长的时间才能恢复正常状态。

国家网络安全中心 ( NCSC ) 的 Jonathan Ellison 与国家韧性主管兼首席技术官 Ollie Whitehouse 表示：“NCSC 正在与受到近期事件影响的组织合作，以了解攻击的性质并尽量减少损害，同时向更广泛的行业和经济提供建议。”

他们补充说：“虽然我们已有一些初步了解，但目前还不能确定这些攻击是否相互关联，是由单一行为者策划的联合行动，还是彼此之间毫无关联。我们正与受害者和执法部门的同事合作以厘清这一点。”

“我们也正通过 NCSC 运营的行业信任小组，与相关企业及更广泛的行业分享已掌握的信息，并鼓励各公司互通经验、分享应对措施，”Ellison 与 Whitehouse 补充道。

What is DragonForce?

SentinelOne 高级威胁研究员 Jim Walter 表示，DragonForce 最初作为一个总部位于马来西亚、支持巴勒斯坦事业的黑客行动网络出现，但自 2023 年夏季以来，该组织已转型为融合政治黑客主义与赎金软件勒索的混合模式。

该组织已将目标锁定在以色列、印度、沙特阿拉伯和英国的多个政府机构，以及与特定政治事业相关联的商业企业和组织。

这股针对英国企业的攻击浪潮凸显出，持续需要强有力的网络安全措施与政策，以及完善的事故响应程序。 – Jim Walter, SentinelOne

Walter 表示，虽然部分攻击环节被归因于某个附属机构，但在这方面缺乏有力的技术证据，尽管其行为与操作特征与 Scattered Spider 及 The Com 的攻击明显相符。

Walter 在博客文章中写道：“尽管 DragonForce 一直模糊黑客主义与经济动机之间的界限，其近期的目标显示，该组织正日益受到经济回报的驱动。”

“虽然 DragonForce 的大规模卡特尔模式并非首创，但其眼下的成功以及竞争对手行动的近期衰落表明，它将对缺乏资源的赎金软件行为者以及那些拥有充足资源、希望在竞争日趋激烈的领域中立足的团体愈发具有吸引力。”

“近几周针对英国企业的攻击浪潮再次凸显出，必须坚持实施强有力的网络安全措施与政策，以及建立完善的事故响应程序。”

DragonForce 或其附属机构通常通过结合目标性钓鱼邮件和利用已知漏洞的方式，进入受害者环境。他们偏爱利用一些‘顽强常客’，例如 Log4j 以及备受瞩目的 Ivanti 漏洞。

此外，他们还会利用被盗取的凭证——这可能就是 M&S 事件的作案方式，或者针对远程桌面协议 ( RDP ) 服务及虚拟专用网络 ( VPN ) 进行凭证堆叠攻击的原因。

通常，他们借助 Cobalt Strike 等工具执行攻击活动，并使用 mimikatz、Advanced IP Scanner 及 PingCastle 等远程管理工具，进行横向移动、建立持久性和提升权限。这些都是赎金软件团伙的典型行为。

最初完全基于泄露的 LockBit 3.0/Black locker 构建的赎金软件负载，最近已演进为一种定制品牌的赎金软件，其代码基础更多借鉴了 Conti。其加密特点稍显不同——采用 AES 作为主要文件加密方式，并使用 RSA 来保护密钥——而源自 Conti 的样本则使用 ChaCha8 算法进行加密。

附属机构可以利用多种工具构建新的负载并管理攻击活动，为 Linux、VMware ESXi 和 Windows 等平台提供针对性变体。这些负载的行为也能进行高度定制，使附属机构可以指定例如希望添加的扩展、不同的命令行脚本，以及文件加密的允许/拒绝名单，甚至可以根据需要设置延迟执行。

在数据外泄方面，有多种途径可供选择，附属机构还可以在赎金软件控制面板内建立协作团队，从而更加高效地协同工作、沟通与与受害者协调。

Walter 解释称，最近 DragonForce 推出了一项新的白标服务，允许附属机构支付额外费用后，将赎金软件贴上自家品牌，从而扩展为一种更为活跃的卡特尔型服务。