英国零售巨头玛莎百货 (Marks & Spencer) 持续的宕机是由勒索软件攻击造成的,据 BleepingComputer 从多个消息来源获悉,攻击据信是由名为“Scattered Spider”的黑客组织发起的。
玛莎百货 (M&S) 是一家英国跨国零售商,拥有 64,000 名员工,在全球 1,400 多家门店销售服装、食品和家居用品等各种产品。
上周二,玛莎百货 证实遭受网络攻击,造成大范围业务中断,包括其非接触式支付系统和在线订购系统。今天,天空新闻报道称,业务中断仍在继续,约200名仓库工人已被告知居家隔离,以应对攻击事件。
BleepingComputer 现已获悉,持续的中断是由勒索软件攻击造成的,该攻击加密了公司的服务器。
据信,威胁行为者早在 2 月份就首次入侵了 M&S,当时他们窃取了 Windows 域的 NTDS.dit 文件。
NTDS.dit 文件是 Windows 域控制器上运行的 Active Directory 服务的主数据库。此文件包含 Windows 帐户的密码哈希值,威胁行为者可以提取这些哈希值并离线破解,以获取相关的纯文本密码。
利用这些凭据,威胁行为者可以横向扩散到整个 Windows 域,同时窃取网络设备和服务器的数据。
消息人士告诉 BleepingComputer,威胁行为者最终于 4 月 24 日将 DragonForce 加密器部署到 VMware ESXi 主机来加密虚拟机。
BleepingComputer 获悉,玛莎百货向 CrowdStrike、微软和 Fenix24 寻求帮助,以调查并应对此次攻击。
迄今为止的调查表明,这次攻击的幕后黑手是名为Scattered Spider 的黑客组织(微软称之为Octo Tempest )。
当被问及此信息时,玛莎百货表示他们无法透露有关网络事件的详细信息。
什么是Scattered Spider?
Scattered Spider,也称为 0ktapus、Starfraud、 UNC3944、 Scatter Swine、 Octo Tempest和 Muddled Libra,是一群威胁行为者,擅长使用社会工程攻击、网络钓鱼、多因素身份验证 (MFA) 轰炸(有针对性的 MFA 疲劳)和 SIM 卡交换来获取大型组织的初始网络访问权限。
该组织由多名使用英语的年轻人(最小的只有16岁)组成,他们拥有各种技能,经常访问相同的黑客论坛、Telegram频道和Discord服务器。他们利用这些媒介实时策划和实施攻击。
据信,部分成员属于“Comm”组织,这是一个松散的团体,涉及暴力行为和网络事件,引起了 媒体的广泛关注。
虽然媒体和研究人员通常将“散布蜘蛛”组织描述为一个有凝聚力的团伙,但他们实际上是一个由不同个体组成的网络,每次攻击都有不同的威胁行为者参与。这种流动性的结构使得追踪他们变得困难。
该组织最初从事金融欺诈和社交媒体黑客攻击,但后来发展到极其复杂的社会工程攻击,以窃取个人加密货币或入侵公司进行勒索攻击。
2023年9月,该组织进一步升级了攻击规模,利用冒充员工致电公司IT服务台的社会工程攻击,入侵了米高梅度假村。在此次攻击中,威胁行为者部署了BlackCat勒索软件,加密了100多个VMware ESXi虚拟机管理程序。
这是勒索软件领域的关键时刻,因为这是首次有迹象表明英语威胁行为者正在与俄语勒索软件团伙合作。
从那时起,Scattered Spider 就以RansomHub、Qilin以及现在的 DragonForce 的附属机构的身份而闻名。
DragonForce 是一个勒索软件行动,于 2023 年 12 月启动,最近开始推广一项新服务,允许网络犯罪团队为其服务贴上白标。
研究人员通常根据 特定的攻击指标将攻击与 Scattered Spider 组织联系起来,包括针对 SSO 平台的凭证窃取网络钓鱼攻击、冒充 IT 帮助桌面的社会工程攻击以及其他策略。
网络安全公司 Silent Push本月早些时候发布了一份报告,概述了 Scattered Spider 最近发起的网络钓鱼攻击。
过去两年来,执法部门不断加大对该组织的打击力度,在美国、英国和西班牙逮捕了多名涉嫌该组织成员。
发表评论
您还未登录,请先登录。
登录