M&S منشأ حمله‌ی باج‌افزاری اخیر را مهندسی اجتماعی اعلام کرد

M&S تایید کرد: حمله‌ی پیچیده‌ی جعل هویت منجر به نفوذ باج‌افزار DragonForce شد

شرکت M&S امروز تأیید کرد که شبکه‌ی این خرده‌فروشی در ابتدا از طریق یک “حمله‌ی جعل هویت پیشرفته” مورد نفوذ قرار گرفته؛ حمله‌ای که در نهایت به استقرار باج‌افزار DragonForce منجر شد.

این موضوع توسط Archie Norman، رئیس هیئت‌مدیره‌ی M&S، در جلسه‌ای با کمیته فرعی تجارت و کسب‌وکار پارلمان بریتانیا درباره امنیت اقتصادی و حملات اخیر به بخش خرده‌فروشی کشور مطرح شد.

با وجود اینکه Norman جزئیات زیادی ارائه نداد، توضیح داد که مهاجمان با جعل هویت یکی از ۵۰,۰۰۰ نیروی کاری مرتبط با شرکت، یک نهاد ثالث را فریب داده‌اند تا رمز عبور یکی از کارکنان را بازنشانی کند.

“در مورد ما، ورود اولیه در ۱۷ آوریل از طریق چیزی انجام شد که حالا به آن مهندسی اجتماعی می‌گویند. به نظر من، این در واقع همان جعل هویت است،” Norman در توضیح به نمایندگان گفت.
“و این یک جعل هویت پیشرفته بود. آن‌ها به‌سادگی درخواست تغییر رمز عبور نکردند؛ بلکه خود را با اطلاعات واقعی به‌جای شخصی جا زدند. بخشی از مسیر نفوذ نیز شامل یک نهاد ثالث بود.”

براساس گزارش Financial Times در ماه می، شرکت برون‌سپاری IT به نام Tata Consultancy Services بررسی‌هایی را آغاز کرد تا مشخص شود آیا به‌صورت ناخواسته در این حمله نقش داشته یا خیر. Tata پشتیبانی Help Desk را برای M&S ارائه می‌دهد و ظاهراً توسط مهاجمان فریب داده شده تا رمز عبور یکی از کارکنان را بازنشانی کند؛ رمزی که سپس برای نفوذ به شبکه M&S مورد استفاده قرار گرفته است.

برای نخستین‌بار، M&S مستقیماً به عملیات باج‌افزار DragonForce به‌عنوان عامل احتمالی این حمله اشاره کرده و اعلام کرده که این گروه احتمالاً از آسیا فعالیت می‌کند.

“عامل این حمله طبق باور ما گروه باج‌افزاری DragonForce است که فعالیت آن‌ها در آسیا تخمین زده می‌شود.”

پس از این حمله، برخی رسانه‌ها به اشتباه DragonForce Malaysia، گروهی هکتیویستی و حامی فلسطین را با گروه باج‌افزار DragonForce یکی دانسته‌اند؛ در حالی که اولی به‌احتمال از مالزی فعالیت دارد و دومی وابسته به مهاجمان با ارتباط با روسیه دانسته می‌شود.

براساس گزارش BleepingComputer، این حمله توسط مهاجمانی با ارتباط با گروه Scattered Spider انجام شده و بدافزار DragonForce روی شبکه استقرار یافته است.

در واکنش به این نفوذ، M&S به‌صورت عمدی تمام سامانه‌های خود را خاموش کرد تا از گسترش حمله جلوگیری کند.
با این حال، در آن مرحله بخشی از سیستم‌ها، از جمله چندین سرور VMware ESXi رمزگذاری شده بودند و منابع به BleepingComputer اعلام کردند که حدود ۱۵۰ گیگابایت داده سرقت شده است.

عملیات DragonForce از روش دوگانه‌سازی باج‌گیری (Double Extortion) استفاده می‌کند، به این معنا که علاوه بر رمزگذاری داده‌ها، اقدام به سرقت اطلاعات کرده و در صورت عدم پرداخت باج، تهدید به افشای آن‌ها می‌کنند.

اگرچه گزارش‌ها نشان می‌دهند که داده‌هایی در این حمله سرقت شده، اما DragonForce تاکنون M&S را در سایت نشت داده‌های خود فهرست نکرده است. این موضوع ممکن است نشان‌دهنده پرداخت باج از سوی شرکت یا ادامه روند مذاکره باشد.

در جلسه پارلمانی، وقتی در خصوص پرداخت باج سوال شد، Norman اعلام کرد که M&S تصمیم گرفته مستقیماً با مهاجمان وارد تعامل نشود:

“ما تصمیم گرفتیم هیچ‌کس از داخل M&S مستقیماً با مهاجمان تعامل نکند. معتقد بودیم بهترین کار این است که این موضوع را به دست متخصصان این حوزه بسپاریم.”

احتمالاً منظور او شرکت‌های تخصصی در زمینه مذاکره با باج‌افزارها است که در فرآیند مذاکره با مهاجمان و تأمین ارز دیجیتال برای پرداخت باج نقش دارند.

در پاسخ به سؤال صریح درباره اینکه آیا باجی پرداخت شده یا خیر، Norman گفت که این اطلاعات به‌صورت عمومی منتشر نمی‌شود چرا که “در جهت منافع عمومی نیست”، اما به‌طور کامل با NCA و سایر نهادهای مسئول به اشتراک گذاشته شده است.

با توجه به این‌که گروه‌های باج‌افزاری به‌ندرت بدون دریافت پول دست از کار می‌کشند، در صورتی که داده‌ها سرقت شده و هنوز افشا نشده باشند، احتمالاً یا باجی پرداخت شده یا همچنان مذاکرات در جریان است.