El ataque cibernético cooperativo es mucho peor de lo planeado inicialmente, la compañía ahora confirma que los datos han sido robados para una gran cantidad de clientes actuales y pasados.
“Debido a las encuestas médico legales actuales, ahora sabemos que los Piratas han podido acceder y extraer datos de uno de nuestros sistemas”, Coop en BleepingCompute.
“Los datos accesibles incluyeron información relacionada con un número significativo de nuestros miembros actuales y anteriores”.
“Estos datos incluyen los datos personales de los miembros del grupo cooperativo, como nombres y datos de contacto, y no incluyen contraseñas de miembros, datos bancarios o tarjetas de crédito, transacciones o información relacionadas con los productos o servicios de miembros o clientes con el grupo cooperativo”.
El miércoles, el gigante minorista británico minimizó los ataques cibernéticos, declarando que había cerrado partes de sus sistemas informáticos después de detectar un intento de intrusión en su red.
Sin embargo, poco después del anuncio de las noticias, BleepingCompute se enteró de que la compañía había sufrido una violación utilizando tácticas asociadas con Spander Spider / Octo Tempstst, pero sus defensas impidieron que los actores de la amenaza de realizar daños significativos a la red.
Las fuentes han dicho que pensó que estaba pensando que el ataque tuvo lugar el 22 de abril, actores de amenaza que usaban tácticas similares al ataque a Marks y Spencer. Los actores de amenaza habrían tomado un ataque de ingeniería social que les permitió restablecer la contraseña de un empleado, que luego fue utilizado para violar la red.
Una vez que han tenido acceso a la red, robaron el archivo Windows Ntds.dit, una base de datos para Windows Active Directory Services que contiene hash de contraseña para cuentas de Windows.
Co-op ahora está reconstruyendo todos sus controladores de dominio de Windows y endureciendo el identificador ingresado con Microsoft Dart. El soporte de KPMG AWS ayuda.
Durante el intercambio de estos detalles con COOP ayer, la compañía dijo que no tenía nada que compartir y nos envió su declaración inicial.
Ransomware DragonForce detrás del ataque
Hoy, el La BBC señaló primero Que los afiliados de la operación de ransomware de DragonForce, los mismos piratas que violaron los M&S, también están en el origen del ataque cooperativo.
El corresponsal de la BBC, Joe Tidy, habló con el operador de Dragonforce, quien confirmó que estaban detrás del ataque y compartieron muestras de datos sobre empresas y datos de clientes durante el ataque. Los actores de amenaza afirman tener datos de 20 millones de personas que se han registrado en el programa de premios de los miembros de la cooperativa.
Las partes interesadas de la amenaza dijeron que habían contactado al jefe de seguridad cibernética cooperativa utilizando mensajes del equipo de Microsoft, compartiendo capturas de pantalla de extorsión con la BBC.
Después del ataque, COOP envió un correo electrónico interno a los empleados que les advierten que estuvieran atentos cuando usaban equipos de Microsoft y no compartieran datos confidenciales, probablemente por el bien de que los hackers siempre tuvieron acceso a la plataforma.
Los actores de amenaza también le dijeron a la BBC que estaban detrás del intento de CyberAttack en Harrods.
Dragonforce es una operación de ransomware como un servicio donde otros cibercriminales pueden unirse como aparato para usar sus figuras de ransomware y sus sitios de negociación. A cambio, los operadores de Dragonforce reciben del 20 al 30% de los rescates pagados por víctimas extorsadas.
En los ataques, los afiliados romperán una red, robarán datos y finalmente implementarán malware que cifre archivos en todos los servidores y estaciones de trabajo. Los actores de amenaza requieren que el pago de rescate recupere un descifrador y prometa que se eliminarán los datos robados.
Si no se paga a un rescate, la operación de ransomware generalmente publica datos robados en su sitio de fuga de datos web oscuros.
Dragonforce es una operación relativamente nueva, pero se está preparando para ser una de las más importantes en el espacio de ransomware.
Creemos que trabajan con los actores de la amenaza en inglés que corresponden a un conjunto específico de tácticas asociadas con el nombre “Spider dispersado” o “Octo Storm”.
Estos actores de amenaza son expertos en el uso de ataques de ingeniería social, intercambio de SIM y ataques de fatiga MFA para violar las redes, luego robar datos o implementar ransomware. Se sabe que los actores de amenaza extorsionan agresivamente a sus víctimas.
Para ser claros, Spider Scated no es una pandilla o un grupo con miembros específicos. En cambio, son una comunidad amorfa de actores de amenaza de motivación financiera que se unen en los mismos telegramas, servidores discordantes y foros de piratería.
Como están “dispersos” en todo el paisaje del delito cibernético, es más difícil para la policía seguir a las personas asociadas con un ataque.
Los actores de amenaza originales asociados con la clasificación de arañas dispersas estaban detrás de una serie de ataques, incluidos los de MGM y Reddit.
Algunos, si no todos, de estos piratas originales ahora han sido arrestados por los Estados Unidos, el Reino Unido y España.
Sin embargo, los piratas o las copias desconocidas antes ahora usan los mismos métodos para aumentar los ataques.
El investigador de ciberseguridad Will Thomas ha establecido un Guía recomendada en la defensa contra los ataques de las arañas dispersas.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.