M&S hekkerek üzenete a postaládámban – ezt követően történt

Naponta érkeznek üzenetek a telefonomra különféle hackerektől, akik a jóktól a rosszakon át a bizonytalanokig terjednek. Több mint egy évtizede foglalkozom kiberbiztonsággal, így tudom, hogy sokan közülük szeretnek beszélni a hackjeikről, felfedezéseikről és kalandjaikról. Az ilyen beszélgetések 99%-a azonban szigorúan titokban marad, és nem vezet hírekhez. Egy nemrégiben érkezett üzenet viszont figyelmet érdemelt. „Helló, Joe Tidy vagyok a BBC-től, és a Co-op híreivel kapcsolatban kereslek, igaz?” – írták a hackerek a Telegramon. „Van egy hírünk számodra” – tettek sejteket. Amikor óvatosan megkérdeztem, miről van szó, a névtelen Telegram-fiók mögött álló emberek elmondták, hogy mit állítanak, hogy tettek az M&S és a Co-op ellen, olyan kiber támadások révén, amelyek tömeges zűrzavart okoztak. Az öt órás üzenetváltás során világossá vált számomra, hogy ezek a hackerek folyékonyan beszélnek angolul, és bár azt állították, hogy csak üzenetküldők, nyilvánvaló volt, hogy szoros kapcsolatban állnak vagy közvetlenül részt vettek az M&S és a Co-op hackelésében.

Bizonyítékokat osztottak meg velem, amelyek igazolták, hogy hatalmas mennyiségű magánügyfél- és alkalmazotti információt loptak el. Ellenőriztem az általuk megadott adatok egy mintáját, majd biztonságosan töröltem azokat. Nyilvánvalóan frusztráltak voltak, mert a Co-op nem engedett a váltságdíj követeléseiknek, de nem árulták el, mennyi bitcoinra lenne szükségük a kiskereskedőtől cserébe azért, hogy ne adják el vagy ne osszák meg a lopott adatokat. A BBC szerkesztőségi politikai csapatával folytatott beszélgetés után úgy döntöttünk, hogy közérdekű információként jelentjük, hogy bizonyítékokat adtak nekünk arról, hogy ők felelősek a hackért. Gyorsan felvettem a kapcsolatot a Co-op sajtócsapatával, hogy kommentálják az ügyet, és pár percen belül a cég, amely kezdetben kisebb jelentőségűnek tartotta a hacket, már elismerte az alkalmazottaknak, ügyfeleknek és a tőzsdének a jelentős adatvédelmi incidenst.

Később a hackerek egy hosszú, dühös és sértő levelet küldtek nekem a Co-op reakciójával és a váltságdíj követelésével kapcsolatban, amelyben kiderült, hogy a kiskereskedő alig úszta meg egy súlyosabb hackelést, mivel azonnal közbeavatkoztak az infiltrálás után. A levél és a hackerekkel folytatott beszélgetés megerősítette, amit a kiberbiztonsági szakértők már jeleztek – a hackerek egy DragonForce nevű kiberbűnöző szolgáltatásból származtak. Kérdezhetnéd, hogy kik is azok a DragonForce? A hackerekkel folytatott beszélgetéseink és a tágabb tudásunk alapján van néhány sejtésünk. A DragonForce különböző szolgáltatásokat kínál kiberbűnöző partnereknek a sötét weben, cserébe a begyűjtött váltságdíjak 20%-ának egy részéért. Bárki regisztrálhat, és használhatja a kártékony szoftvereiket, hogy eltorzítsa egy áldozat adatait, vagy kihasználhatja a sötét webes oldalukat nyilvános zsarolásra. Ez már a szervezett kiberbűnözés normájává vált, amelyet váltságdíj mint szolgáltatás néven ismerünk. Az utóbbi idők legrosszabb hírű szolgáltatása a LockBit volt, de ez már gyakorlatilag megszűnt, részben azért, mert a rendőrség tavaly lebuktatta. A hasonló csoportok lebontása után hatalmi űr keletkezett. Ez versengést generált az alvilágban, ami néhány rivális csoport innovációját eredményezte. A DragonForce nemrégiben kartellé alakult, amely még több lehetőséget kínál a hackereknek, például 24/7 ügyfélszolgálatot. A csoport már legalább 2024 eleje óta reklámozza kibővített ajánlatát, és 2023 óta aktívan célozza meg a szervezeteket – mondja Hannah Baumgaertner, a Silobreaker kiberkockázati védelmi cég kutatási vezetője.

A DragonForce legújabb modellje olyan funkciókat tartalmaz, mint az adminisztrációs és ügyfélpaneleket, titkosítást és váltságdíj-tárgyalási eszközöket. A hatalmi harc drámai példájaként a DragonForce sötét webes oldalát nemrégiben egy rivális banda, a RansomHub hackelte meg és rongálta meg, majd körülbelül egy héttel később újra megjelent. A váltságdíj ökoszisztéma hátterében látható némi lökdösődés – ez lehet a „vezető” pozíció megszerzéséért folytatott harc vagy csak más csoportok megzavarására irányul, hogy nagyobb részesedést szerezzenek az áldozatokból. A DragonForce elterjedt működési módszere, hogy a áldozataikra való hivatkozással posztol, amint tette azt 168 alkalommal 2024 december óta; Londonban egy könyvelőiroda, egy illinoisi acélgyár és egy egyiptomi befektetési vállalat is szerepel. Eddig azonban a DragonForce hallgatott a kiskereskedelmi támadásokról. A támadások körüli csend általában azt jelzi, hogy az áldozat szervezet kifizette a hackereknek a hallgatást.

A DragonForce háta mögött álló emberek kilétének megállapítása nehéz, és nem tudni, hol találhatóak. Amikor ezt megkérdeztem a Telegram fiókjuktól, nem kaptam választ. Bár a hackerek nem mondták el egyértelműen, hogy ők állnak a legutóbbi M&S és Harrods hackelések mögött, megerősítették egy Bloomberg jelentést, amely ezt kifejtette. Természetesen bűnözők, ezért lehet, hogy hazudnak. Néhány kutató szerint a DragonForce Malajziában található, míg mások Oroszországra gyanakodnak, ahol sok ilyen csoportot feltételeznek. Ami biztos, hogy a DragonForce-nak nincs konkrét célja vagy programja, csupán a pénzszerzés. De ha a DragonForce csupán a kiberbűnözők számára nyújt szolgáltatást, akkor ki irányítja a szálakat és dönt arról, hogy milyen brit kiskereskedőket támadjanak meg? Az M&S hackelésének korai szakaszában ismeretlen források azt mondták a Bleeping Computer kiberhíroldalnak, hogy a bizonyítékok arra utalnak, hogy egy laza kiberbűnöző kollektívát, Scattered Spider néven ismert csoportot kell keresni – de ezt a rendőrség még nem erősítette meg. A Scattered Spider nem igazán csoport a szó hagyományos értelmében, inkább egy közösség, amely a Discord, Telegram és fórumok oldalain szerveződik – ezért a „szétszórt” elnevezést kapták a CrowdStrike kiberbiztonsági kutatói. Ismert, hogy angolul beszélnek, val

Forrás: https://www.bbc.com/news/articles/cgr5nen5gxyo