HackerNews 编译,转载请注明出处:
英国零售巨头玛莎百货(Marks & Spencer)持续的系统中断已被确认由勒索软件攻击引发。BleepingComputer从多个消息来源获悉,此次攻击被认为是由名为Scattered Spider的黑客组织实施的。
玛莎百货(M&S)是一家英国跨国零售商,拥有64,000名员工,在全球超过1,400家门店销售服装、食品和家居用品等各类商品。
上周二,M&S确认其遭受网络攻击,导致包括非接触式支付系统和在线订购在内的广泛服务中断。今日,Sky News报道称中断仍在持续,约200名仓库员工被要求居家待命,公司正在应对此次攻击。
BleepingComputer现已获悉,持续中断是由加密公司服务器的勒索软件攻击导致。据悉,威胁行为者最早在2月首次入侵M&S,当时他们窃取了Windows域的NTDS.dit文件。
NTDS.dit文件是Windows域控制器上运行的Active Directory服务的主数据库,包含Windows账户的密码哈希。攻击者可提取这些哈希并离线破解以获取明文密码。
利用这些凭证,威胁行为者可在Windows域内横向移动,同时从网络设备和服务器窃取数据。
消息人士告诉BleepingComputer,攻击者最终于4月24日在VMware ESXi主机上部署DragonForce加密器以加密虚拟机。
BleepingComputer了解到,玛莎百货已请求CrowdStrike、微软和Fenix24协助调查与应对此次攻击。
目前的调查表明,此次攻击的幕后黑手是被称为Scattered Spider的组织(微软称其为Octo Tempest)。当被问及此事时,M&S表示无法透露网络事件的具体细节。
Scattered Spider是谁?
Scattered Spider(又名0ktapus、Starfraud、UNC3944、Scatter Swine、Octo Tempest、Muddled Libra)是一群擅长使用社会工程攻击、钓鱼、多因素认证(MFA)轰炸(定向MFA疲劳攻击)和SIM卡劫持技术入侵大型组织的威胁行为者。
该组织成员包括以英语为母语的年轻人(最小16岁),他们活跃于相同的黑客论坛、Telegram频道和Discord服务器,并实时策划攻击。部分成员被认为是“Comm”的一员——“Comm”是一个松散社区,涉及引发广泛媒体关注的暴力行为和网络事件。
尽管媒体和研究人员常将Scattered Spider视为一个紧密团伙,但他们实际上是由不同个体组成的网络,每次攻击的参与者不同。这种流动性使其难以追踪。该组织最初从事金融诈骗和社交媒体入侵,后发展为针对个人的加密货币盗窃或企业勒索的复杂社会工程攻击。
2023年9月,该组织通过假冒员工致电米高梅度假村(MGM Resorts)IT服务台的社会工程攻击入侵系统,并部署BlackCat勒索软件加密超过100台VMware ESXi虚拟机。这是勒索软件领域的关键时刻,标志着英语系威胁行为者首次与俄语系勒索团伙合作。
此后,Scattered Spider已知作为RansomHub、Qilin以及现在的DragonForce的附属组织活动。DragonForce是2023年12月启动的勒索软件组织,近期开始推广一项允许网络犯罪团队白标其服务的新业务。
研究人员通常通过特定入侵指标将攻击归因于Scattered Spider,包括针对单点登录(SSO)平台的凭证窃取钓鱼攻击、假冒IT服务台的社会工程攻击等战术。网络安全公司Silent Push本月早些时候发布的报告概述了Scattered Spider最近的钓鱼攻击。
过去两年,执法机构正加大对该组织的打击力度,在美国、英国和西班牙逮捕了多名据称是成员的人员。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
