關(guān)鍵詞

勒索軟件

英國(guó)零售巨頭瑪莎百貨 (Marks & Spencer) 持續(xù)的宕機(jī)是由勒索軟件攻擊造成的，據(jù) BleepingComputer 從多個(gè)消息來源獲悉，攻擊據(jù)信是由名為“Scattered Spider”的黑客組織發(fā)起的。

瑪莎百貨 (M&S) 是一家英國(guó)跨國(guó)零售商，擁有 64,000 名員工，在全球 1,400 多家門店銷售服裝、食品和家居用品等各種產(chǎn)品。

上周二，瑪莎百貨 證實(shí)遭受網(wǎng)絡(luò)攻擊，造成大范圍業(yè)務(wù)中斷，包括其非接觸式支付系統(tǒng)和在線訂購系統(tǒng)。今天，天空新聞報(bào)道稱，業(yè)務(wù)中斷仍在繼續(xù)，約200名倉庫工人已被告知居家隔離，以應(yīng)對(duì)攻擊事件。

BleepingComputer 現(xiàn)已獲悉，持續(xù)的中斷是由勒索軟件攻擊造成的，該攻擊加密了公司的服務(wù)器。

據(jù)信，威脅行為者早在 2 月份就首次入侵了 M&S，當(dāng)時(shí)他們竊取了 Windows 域的 NTDS.dit 文件。

NTDS.dit 文件是 Windows 域控制器上運(yùn)行的 Active Directory 服務(wù)的主數(shù)據(jù)庫。此文件包含 Windows 帳戶的密碼哈希值，威脅行為者可以提取這些哈希值并離線破解，以獲取相關(guān)的純文本密碼。

利用這些憑據(jù)，威脅行為者可以橫向擴(kuò)散到整個(gè) Windows 域，同時(shí)竊取網(wǎng)絡(luò)設(shè)備和服務(wù)器的數(shù)據(jù)。

消息人士告訴 BleepingComputer，威脅行為者最終于 4 月 24 日將 DragonForce 加密器部署到 VMware ESXi 主機(jī)來加密虛擬機(jī)。

BleepingComputer 獲悉，瑪莎百貨向 CrowdStrike、微軟和 Fenix24 尋求幫助，以調(diào)查并應(yīng)對(duì)此次攻擊。

迄今為止的調(diào)查表明，這次攻擊的幕后黑手是名為Scattered Spider 的黑客組織（微軟稱之為Octo Tempest ）。

當(dāng)被問及此信息時(shí)，瑪莎百貨表示他們無法透露有關(guān)網(wǎng)絡(luò)事件的詳細(xì)信息。

什么是Scattered Spider？

Scattered Spider，也稱為 0ktapus、Starfraud、 UNC3944、 Scatter Swine、 Octo Tempest和 Muddled Libra，是一群威脅行為者，擅長(zhǎng)使用社會(huì)工程攻擊、網(wǎng)絡(luò)釣魚、多因素身份驗(yàn)證 (MFA) 轟炸（有針對(duì)性的 MFA 疲勞）和 SIM 卡交換來獲取大型組織的初始網(wǎng)絡(luò)訪問權(quán)限。

該組織由多名使用英語的年輕人（最小的只有16歲）組成，他們擁有各種技能，經(jīng)常訪問相同的黑客論壇、Telegram頻道和Discord服務(wù)器。他們利用這些媒介實(shí)時(shí)策劃和實(shí)施攻擊。

據(jù)信，部分成員屬于“Comm”組織，這是一個(gè)松散的團(tuán)體，涉及暴力行為和網(wǎng)絡(luò)事件，引起了 媒體的廣泛關(guān)注。

雖然媒體和研究人員通常將“散布蜘蛛”組織描述為一個(gè)有凝聚力的團(tuán)伙，但他們實(shí)際上是一個(gè)由不同個(gè)體組成的網(wǎng)絡(luò)，每次攻擊都有不同的威脅行為者參與。這種流動(dòng)性的結(jié)構(gòu)使得追蹤他們變得困難。

該組織最初從事金融欺詐和社交媒體黑客攻擊，但后來發(fā)展到極其復(fù)雜的社會(huì)工程攻擊，以竊取個(gè)人加密貨幣或入侵公司進(jìn)行勒索攻擊。

2023年9月，該組織進(jìn)一步升級(jí)了攻擊規(guī)模，利用冒充員工致電公司IT服務(wù)臺(tái)的社會(huì)工程攻擊，入侵了米高梅度假村。在此次攻擊中，威脅行為者部署了BlackCat勒索軟件，加密了100多個(gè)VMware ESXi虛擬機(jī)管理程序。

這是勒索軟件領(lǐng)域的關(guān)鍵時(shí)刻，因?yàn)檫@是首次有跡象表明英語威脅行為者正在與俄語勒索軟件團(tuán)伙合作。

從那時(shí)起，Scattered Spider 就以RansomHub、Qilin以及現(xiàn)在的 DragonForce 的附屬機(jī)構(gòu)的身份而聞名。

DragonForce 是一個(gè)勒索軟件行動(dòng)，于 2023 年 12 月啟動(dòng)，最近開始推廣一項(xiàng)新服務(wù)，允許網(wǎng)絡(luò)犯罪團(tuán)隊(duì)為其服務(wù)貼上白標(biāo)。

研究人員通常根據(jù) 特定的攻擊指標(biāo)將攻擊與 Scattered Spider 組織聯(lián)系起來，包括針對(duì) SSO 平臺(tái)的憑證竊取網(wǎng)絡(luò)釣魚攻擊、冒充 IT 幫助桌面的社會(huì)工程攻擊以及其他策略。

網(wǎng)絡(luò)安全公司 Silent Push本月早些時(shí)候發(fā)布了一份報(bào)告，概述了 Scattered Spider 最近發(fā)起的網(wǎng)絡(luò)釣魚攻擊。

過去兩年來，執(zhí)法部門不斷加大對(duì)該組織的打擊力度，在美國(guó)、英國(guó)和西班牙逮捕了多名涉嫌該組織成員。

來源：https://www.bleepingcomputer.com/news/security/marks-and-spencer-breach-linked-to-scattered-spider-ransomware-attack/

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！