Hackerek levele érkezett az M&S-től – ez történt ezután

Szinte naponta érkeznek üzenetek a telefonomra különböző hackerektől, akik különféle célokat követnek. A jók, a rosszak és a nem egészen biztosak egyaránt próbálnak kapcsolatba lépni velem. Több mint egy évtizede foglalkozom kiberbiztonsággal, így jól tudom, hogy sokan közülük szeretnek beszélni a hackjeikről, felfedezéseikről és kalandjaikról. Az ilyen beszélgetések körülbelül 99%-a a beszélgetési naplóimban marad, és nem vezet hírekhez. Azonban egy nemrégiben érkezett üzenet figyelmen kívül hagyhatatlannak bizonyult. „Helló, Joe Tidy vagyok a BBC-től, és a Co-op híreiről jelentkezem, igaz?” – írták nekem a hackerek a Telegramon. „Van egy hírünk számodra” – tették hozzá incselkedve.

Amikor óvatosan érdeklődtem, hogy miről van szó, a névtelen és profil nélküliek mögött álló személyek egy sor üzenetben megosztották velem, amit állítólag elkövettek az M&S és a Co-op ellen, olyan kiber támadások során, amelyek tömeges zavart okoztak. Az öt órás beszélgetés során világossá vált számomra, hogy ezek a hackerek folyékonyan beszélnek angolul, és bár azt állították, hogy csak közvetítők, nyilvánvaló volt, hogy szoros kapcsolatban állnak az M&S és a Co-op hackelésével. Bizonyítékokat osztottak meg arról, hogy hatalmas mennyiségű személyes ügyfél- és munkavállalói információt loptak el. Ellenőriztem az általuk megadott adatok egy részét, majd biztonságosan töröltem őket. Nyilvánvalóan csalódottak voltak amiatt, hogy a Co-op nem engedett a váltságdíj követeléseiknek, de nem árulták el, mennyi Bitcoinra lenne szükségük a kiskereskedőtől, cserébe azért, hogy nem adják el vagy nem osztják meg az ellopott adatokat.

A BBC Szerkesztőségi Irányelvek csapatával folytatott egyeztetés után úgy döntöttünk, hogy közérdekből számolni fogunk arról, hogy bizonyítékokat kaptunk arról, hogy ők állnak a hack mögött. Gyorsan felvettem a kapcsolatot a Co-op sajtócsapatával, és néhány percen belül a cég, amely kezdetben bagatellizálta a hacket, beismerte az alkalmazottaknak, az ügyfeleknek és a tőzsdének a jelentős adatvédelmi incidenst. Később a hackerek egy hosszú, dühös és sértő levelet küldtek nekem a Co-op válaszáról a hackre és a követeléseikre, amelyből kiderült, hogy a kiskereskedő szoros határon állt egy súlyosabb hack elkerülésében, amikor beavatkoztak a számítógépes rendszereik behatolása után kialakult kaotikus pillanatokban.

A levél és a hackerekkel folytatott beszélgetés megerősítette azt, amit a kiberbiztonsági szakértők mondtak a kiskereskedőket célzó támadások hullámának kezdete óta – a hackerek egy DragonForce nevű kiberbűnöző szolgáltatás tagjai. De kik is a DragonForce? A hackerekkel folytatott beszélgetések és a szélesebb tudásunk alapján van néhány nyomunk. A DragonForce különböző szolgáltatásokat kínál a kiberbűnözőknek a darkneten, cserébe a begyűjtött váltságdíjak 20%-ának részesedéséért. Bárki regisztrálhat, és használhatja a rosszindulatú szoftvereiket, hogy megzavarja egy áldozat adatait, vagy felhasználhatja darknet weboldalukat nyilvános zsarolásra. Ez a szervezett kiberbűnözés normájává vált; ezt ransomware-as-a-service néven ismerik. Az utóbbi idő egyik legismertebb szolgáltatása a LockBit volt, de ez szinte teljesen megszűnt, részben azért, mert a rendőrség tavaly lebuktatta. Az ilyen csoportok lebontása után hatalmi vákuum alakult ki, ami rivalizálásra késztette a különböző csoportokat, hogy innovatívabb ajánlatokat kínáljanak. A DragonForce nemrégiben kartellként rebrandelte magát, és még több lehetőséget kínál a hackereknek, beleértve a 24/7-es ügyfélszolgálatot is.

A csoport már legalább 2024 eleje óta hirdeti szélesebb ajánlatát, és 2023 óta aktívan célozza a szervezeteket, mondja Hannah Baumgaertner, a Silobreaker, egy kiberkockázat-védelmi cég kutatási vezetője. „A DragonForce legújabb modellje olyan funkciókat tartalmaz, mint az adminisztrációs és ügyfélpaneleket, titkosítást és váltságdíj-tárgyalási eszközöket” – mondta Baumgaertner. A hatalmi harc éles példájaként a DragonForce darknet weboldalát nemrégiben egy rivalizáló banda, a RansomHub feltörte és megrongálta, mielőtt körülbelül egy héttel ezelőtt újra megjelent volna. „A ransomware ökoszisztéma hátterében úgy tűnik, hogy valamiféle jostling zajlik – ami lehet a ‘vezető’ pozícióért folytatott harc, vagy csak hogy más csoportokat zavarjanak meg, hogy nagyobb részesedést szerezzenek az áldozatokból” – mondta Aiden Sinnott, a Sophos kiberbiztonsági cég vezető fenyegetéskutatója.

A DragonForce elterjedt módszere az, hogy bejegyzéseket tesz közzé az áldozatairól, ahogy ezt 2024 december óta 168 alkalommal tette. A londoni könyvelőiroda, egy illinoisi acélgyártó és egy egyiptomi befektetési cég mind szerepel a listán. Mindazonáltal a DragonForce eddig hallgatott a kiskereskedelmi támadásokról. A támadások körüli csend általában azt jelzi, hogy az áldozat szervezet kifizette a hackereknek, hogy hallgassanak. Mivel sem a DragonForce, sem a Co-op, sem az M&S nem kommentálta ezt a kérdést, nem tudjuk, mi történik a színfalak mögött. Nehéz megállapítani, hogy kik állnak a DragonForce mögött, és azt sem tudni, hol találhatók. Amikor a Telegram fiókjuktól kérdeztem erről, nem kaptam választ. Bár a hackerek nem mondták el kifejezetten, hogy ők állnak az M&S és a Harrods legutóbbi hackjei mögött, megerősítették egy Bloomberg jelentését, amely ezt kifejtette. Természetesen bűnözők, és lehet, hogy hazudnak.

Egyes kutatók azt mondják, hogy a DragonForce Malajziában, míg mások Oroszországban található, ahol sok ilyen csoport működik. Azt tudjuk, hogy a DragonForce-nak nincsenek konkrét céljai vagy napirendje, csak a pénzszerzés. Ha a DragonForce csupán egy szolgáltatás más bűnözők számára, akkor ki húzza a szálakat és dönt a brit kiskereskedők megtámadása mellett? Az M&S hack első szakaszaiban ismeretlen források a Bleeping Computer kiberhíroldalnak azt mondták, hogy a bizonyítékok egy laza kiberbűnöző közösségre, a Scattered Spiderre mutatnak – de ezt még nem erősítették meg a rendőrség. A Scattered Spider nem

Forrás: https://www.bbc.com/news/articles/cgr5nen5gxyo