安全企业Secureworks于4月下旬提出警告,勒索软件黑客组织DragonForce改变经营策略,从原本提供作案工具的租用服务模式(Ransomware-as-a-Service),在3月19日之后开始改以勒索软件“横向联盟(cartel)”名义找寻合作对象。最近两周,传出有黑客团体连续对英国零售企业下手,使用的犯案工具就是勒索软件DragonForce。
根据英国广播公司(BBC)、卫报(The Guardian)、 ITV News、安全新闻网站Bleeping Computer等多家媒体的报道,英国玛莎百货(Marks & Spencer,M&S)、连锁超市Co-op、精品百货公司哈洛德(Harrods)接连传出遭到网络攻击,可能是被称为Scattered Spider、0ktapus、Octo Tempest、UNC3944的黑客组织所为。
5月1日英国国家安全网络中心(NCSC)发布新闻稿证实,他们的确收到相关网络攻击事故的通报,并与受害的零售企业进行合作,应对相关安全事故。NCSC也在4日二度发布公告,呼吁企业应参考他们提出的最佳实务指南,防范相关的攻击行动。
而对于攻击者的身份,NCSC表示尚在调查,无法确定所有的攻击是否相关,或是由相同黑客犯案。
最早传出遭到攻击的是玛莎百货,该公司于4月22日向英国伦敦交易所通报遭遇网络攻击事故,并表示他们在发现此事后对商店进行临时、局部的调整,来保护客户。M&S强调,商店、网站、App正常维持运行。
该公司也在23日于网站发布公告,表示他们暂停提供非接触式付款服务,以及接受网络商店的Click & Collect订单;25日范围进一步扩大:他们停止整个网站及App下单的业务。
究竟攻击者的身份为何?根据Bleeping Computer的报道,有知情人士向他们透露,攻击者是Scattered Spider,黑客很可能在今年2月就成功入侵,并窃得NTDS.dit文件,而能对域名环境上下其手,到了4月24日,这些黑客在VMware ESXi主机部署勒索软件DragonForce,加密虚拟机。
无独有偶,4月30日Co-op也传出网络环境遭到入侵,发言人透露,有人试图未经授权访问部分系统,该公司采取积极的应对措施来确保系统安全,而对于部分后台办公室与客服中心造成影响。但隔日新闻媒体ITV News取得Co-op内部信件,指出员工暂时无法使用VPN访问内部系统,并要求员工在使用Teams及接收邮件必须提高警觉。
5月2日,Co-op向Bleeping Computer透露新的调查结果,表示他们确认黑客从其中1个系统挖掘数据,内容包含该公司现任及前任员工的资讯,例如:姓名、联系方式,但不含他们的密码及金融数据。
Bleeping Computer取得消息人士的说法,得知攻击手法与玛莎百货的事故有所雷同:黑客在4月22日发动社交工程攻击,得逞后重设员工的密码,并利用其账号破坏Co-op的网络环境,试图取得NTDS.dit文件。
对于攻击者的身份,BBC指出就是勒索软件DragonForce的附属组织,他们与黑客进行对话,对方声称握有2千万参与会员奖励计划的客户数据。
黑客声称通过Teams向Co-op安全团队进行勒索,并提供BBC屏幕截屏证明此事。此外,他们也宣称攻击了哈洛德百货。
值得留意的是,5月1日哈洛德向媒体证实遭遇网络攻击,但黑客并未得逞,该公司所有店面仍照常营业,为了进行防范,他们还是限制网站的访问,不过,客户仍可在harrods.com购物。
目前这些安全事故已经传出造成严重混乱,卫报指出,玛莎百货因暂停将已经包装好的食物交给杂货零售企业欧卡多(Ocado),导致一度有大量食物被迫丢弃。再者,虽然玛莎百货首席执行官Stuart Machin呼吁人们改到实体门店消费,降低事故带来的冲击,但货架上已出现部分商品被清空的情况,销售的服饰只剩下零星尺码,而且,店员无法通过IT系统替客户确认商品库存。
我们也实际访问Co-op网站确认是否有相关的公告资讯,结果发现,该公司网站出现拒绝访问的错误消息。
