Las fallas actuales en el gigante minorista británico Marks & Spencer son causadas por un ataque de ransomware que sería dirigido por un colectivo de piratería conocido como bleeping de “araña esponjosa” compostada para haber aprendido de varias fuentes.
Marks & Spencer (M&S) es un minorista multinacional británico que emplea a 64,000 empleados y vende varios productos, incluyendo ropa, alimentos y productos para el hogar en más de 1,400 tiendas en todo el mundo.
El martes pasado, M&S confirmó que se había sometido a un ataque cibernético que causó una perturbación generalizada, en particular a su sistema de pago sin contacto y su orden en línea. Hoy, Sky News informó Que la perturbación continúa, con alrededor de 200 empleados de almacén que dijeron que se quedaron en casa mientras la compañía reacciona al ataque.
BleepingComputter ahora ha aprendido que las fallas actuales son causadas por un ataque de ransomware que cuantificó los servidores de la empresa.
Los actores de amenaza habrían violado los M&S por primera vez en febrero, cuando han robado el archivo NTDS.dit del dominio de Windows.
Un archivo ntds.dit es la base de datos principal para los servicios de Active Directory que operan en un controlador de dominio de Windows. Este archivo contiene hash de contraseña para cuentas de Windows, que los actores amenazados pueden extraer y descifrar fuera de línea para acceder a las contraseñas asociadas en texto sin procesar.
Usando esta información de identificación, un jugador de amenaza puede extenderse lateralmente por todo el campo de Windows, mientras vuela datos en dispositivos de red y servidores.
Las fuentes han declarado a Bleeping que los actores de la amenaza finalmente habían desplegado el DragonForce Decryptor a los anfitriones de VMware ESXi el 24 de abril para cifrar máquinas virtuales.
BleepingCompute se enteró de que Marks y Spencer solicitaron la ayuda de Crowstrike, Microsoft y Fenix24 para investigar y responder al ataque.
La investigación hasta ahora indica que el colectivo de piratería conocido como la araña dispersa, o como Microsoft los llama, Octo Tempest, está detrás del ataque.
Cuando fue contactado con esta información, M&S dijo que no podían entrar en los detalles del incidente cibernético.
¿Tiene información sobre este ataque cibernético u otro ataque cibernético? Si desea compartir la información, puede comunicarse con nosotros de manera segura y confidencial en la señal en Lawrencea.11, por correo electrónico a lawrence.abrams@bleepingcomputter.com, o utilizando nuestro formulario de asesoramiento.
¿Quién es una araña dispersa?
Araña dispersa, también conocida como 0ktapus, Starfraud, UNC3944Dispersar a los cerdos, la tormenta de octo y Confusoes un grupo de actores de amenazas que pueden usar ataques de ingeniería social, phishing, bombardeos de autenticación multifactor (MFA) (fatiga de MFA dirigida) e intercambio de SIM para obtener acceso inicial a la red en grandes organizaciones.
El grupo incluye miembros jóvenes que hablan en inglés (tan solo 16) con varios conjuntos de habilidades que frecuentan los mismos foros piratas, canales de telegrama y servidores de discordia. Estos soportes se utilizan para planificar y llevar a cabo ataques en tiempo real.
Algunos miembros serían parte de la “comunicación”, una comunidad unida involucrada en actos violentos y ciberdinentes que han ganado Gran atención de los medios.
Aunque los medios de comunicación y los investigadores generalmente se refieren a Spander Spider como una pandilla cohesiva, de hecho son una red de individuos, con varios actores de amenazas que participan en cada ataque. Esta estructura fluida es lo que los hace difíciles de seguirlos.
Inicialmente, el grupo comenzó en fraude financiero y hacks de redes sociales, pero luego progresó a ataques de ingeniería social extremadamente sofisticados para robar la criptomoneda a las personas o un delito a las sociedades en ataques de extorsión.
El grupo intensificó sus ataques en septiembre de 2023 cuando violaron las estaciones de MGM utilizando un ataque de ingeniería social que usurpó la identidad de un empleado cuando llamó al servicio de asistencia informática de la compañía. En este ataque, los actores de amenaza desplegaron el ransomware BlackCat para cifrar más de 100 hipervisores ESXI VMware.
Fue un momento fundamental en el paisaje del ransomware porque fue la primera indicación conocida de que los actores de la amenaza de habla inglesa trabajaron con pandillas Ranso-en-Diomobile.
Desde entonces, Spotted Spider ha sido conocido por actuar como un afiliado a RansomhubQilin, y ahora Dragonforce.
Dragonforce es una operación de ransomware lanzada en diciembre de 2023 y recientemente comenzó a promover un nuevo servicio donde permiten a los equipos de delitos cibernéticos marcar sus servicios.
Los investigadores generalmente asocian los ataques contra el grupo de arañas dispersas sobre la base de indicadores de compromiso específicos, incluidos los ataques de vuelo de identificación dirigidos a plataformas SSO, ataques de ingeniería social que son identificados por una oficina y otras tácticas.
Compañía de ciberseguridad. Publicado un informe A principios de este mes, describiendo los ataques de phishing de araña espores más recientes.
En los últimos dos años, la policía estaba atacando cada vez más al grupo, arrestando a varios presuntos miembros en los Estados Unidos, el Reino Unido y España.