Furcsa levél a M&S hekkereitől: ez történt ezután

Nap mint nap érkeznek üzenetek a telefonomra különböző hackerektől, akik a legváltozatosabb háttérrel bírnak. Több mint egy évtizede foglalkozom kiberbiztonsággal, így tisztában vagyok azzal, hogy sokan közülük szeretik megosztani a hackeléseikről, felfedezéseikről és kalandjaikról szóló történeteiket. E beszélgetések körülbelül 99%-a azonban zárt marad a chat naplómban, és nem vezetnek hírértékű eseményekhez. Nemrég azonban egy üzenet, amit kaptam, figyelmet érdemelt. „Szia! Joe Tidy vagyok a BBC-től, a Co-op híreivel kapcsolatban kereslek, igaz?” – írták nekem a hackerek a Telegramon. „Van egy hírünk számodra” – folytatták. Amikor óvatosan megkérdeztem, miről van szó, a névtelen Telegram-fiók mögött álló emberek elmondták, hogy mit állítanak, hogy tettek az M&S és a Co-op ellen, olyan kiber támadások révén, amelyek tömeges zavart okoztak. Az öt órás üzenetváltás során világossá vált számomra, hogy ezek a hackerek folyékonyan beszélnek angolul, és bár azt állították, hogy csupán közvetítők, egyértelmű volt, hogy szoros kapcsolatban állnak – ha nem közvetlenül érintettek is – az M&S és a Co-op hackelésében. Bizonyítékokat osztottak meg arról, hogy hatalmas mennyiségű személyes ügyfél- és alkalmazottadatot loptak el. Ellenőriztem egy mintát az általuk megadott adatokból, majd biztonságosan töröltem. Nyilvánvalóan frusztráltak voltak amiatt, hogy a Co-op nem engedett a váltságdíj követeléseiknek, de nem árulták el, mennyi pénzért kértek Bitcoinnal a kiskereskedőtől cserébe azért, hogy ne adják el vagy ne osszák meg az ellopott adatokat. A BBC Szerkesztőségi Politikai csapatával folytatott beszélgetés után úgy döntöttünk, hogy a közérdek érdekében érdemes beszámolni arról, hogy bizonyítékokat kaptunk, amelyek bizonyítják, hogy ők felelősek a hackért. Gyorsan felvettem a kapcsolatot a Co-op sajtócsapatával, hogy megjegyzést kérjek, és perceken belül a vállalat, amely kezdetben leértékelte a hackertámadást, elismerte az alkalmazottaknak, ügyfeleknek és a tőzsdének a jelentős adatvédelmi megsértést. Később a hackerek hosszú, dühös és sértő levelet küldtek nekem a Co-op válaszáról a hackjükre és az azt követő zsarolásra, amely feltárta, hogy a kiskereskedő néhány perc leforgása alatt szoros határvonalon volt, hogy elkerülje egy súlyosabb hackertámadást, miután bejutottak a számítógépes rendszereikbe. A levél és a hackerekkel folytatott beszélgetés megerősítette azt, amit a kiberbiztonsági szakértők már régóta mondanak, mióta megkezdődött a kiskereskedőket célzó támadások hulláma – a hackerek egy DragonForce nevű kiberbűnöző szolgáltatásból származnak. De kik is azok a DragonForce? A hackerekkel folytatott beszélgetéseink és a szélesebb körű tudásunk alapján néhány nyomunk van. A DragonForce különböző szolgáltatásokat kínál a kiberbűnözői partnereknek a darknet oldalán, cserébe a begyűjtött váltságdíjak 20%-ának megosztásáért. Bárki regisztrálhat és használhatja a rosszindulatú szoftvereiket, hogy megbénítsa egy áldozat adatait, vagy használhatja a darknet weboldalukat nyilvános zsarolásra. Ez a szervezett kiberbűnözés normájává vált, amit ransomeware-as-a-service néven ismerünk. Az utóbbi időben a legismertebb ilyen szolgáltatás a LockBit volt, de ez most már szinte megszűnt, részben azért, mert tavaly letartóztatták a rendőrség által. A hasonló csoportok felszámolása után hatalmi vákuum keletkezett, ami versenyt generált az alvilágban, és néhány rivális csoport innovációkat vezetett be. A DragonForce nemrégiben kartellé alakult, amely még több lehetőséget kínál a hackereknek, beleértve a 24/7 ügyfélszolgálatot is. A csoport legalább 2024 eleje óta reklámozza szélesebb kínálatát, és 2023 óta aktívan célzott szervezeteket, mondja Hannah Baumgaertner, a Silobreaker kiberkockázati védelmi cég kutatási vezetője. „A DragonForce legújabb modellje olyan funkciókat tartalmaz, mint az adminisztrációs és ügyfélpanelek, titkosítás és a váltságdíj tárgyalási eszközei, és még sok más” – mondta Baumgaertner. A hatalmi harc drámai illusztrációjaként a DragonForce darknet weboldalát nemrégiben egy rivális banda, a RansomHub hackelte meg és rongálta meg, mielőtt körülbelül egy héttel ezelőtt újra megjelent. „A ransomware ökoszisztéma mögött látszólag némi lökdösődés zajlik – ami lehet a ‘vezető’ pozícióért folytatott harc, vagy csak más csoportok megzavarása, hogy több áldozatot szerezzenek” – mondta Aiden Sinnott, a Sophos kiberbiztonsági cég vezető fenyegetéskutatója. A DragonForce termékeny modus operandi-ja az, hogy 168 alkalommal posztolt az áldozatairól 2024 december óta – egy londoni könyvelőiroda, egy illinoisi acélgyártó, egy egyiptomi befektetési cég mind szerepel az áldozatok között. Ám eddig a DragonForce hallgatott a kiskereskedelmi támadásokról. Általában a támadások körüli csend arra utal, hogy az áldozat megszerezte a hackereket, hogy hallgassanak. Mivel sem a DragonForce, sem a Co-op, sem az M&S nem kommentálta ezt a kérdést, nem tudjuk, mi történhet a háttérben. Megállapítani, kik állnak a DragonForce mögött, nehéz, és nem ismert, hol találhatók. Amikor megkérdeztem őket a Telegram-fiókjukon, nem kaptam választ. Bár a hackerek nem mondták el kifejezetten, hogy ők állnak az M&S és a Harrods legutóbbi hackjei mögött, megerősítették egy Bloomberg hírben, amely ezt egyértelműen kifejtette. Természetesen bűnözők, és hazudhatnak. Néhány kutató azt mondja, hogy a DragonForce Malajziában található, míg mások Oroszországot említik, ahol sok ilyen csoportot feltételeznek. Tudjuk, hogy a DragonForce-nak nincsenek konkrét célpontjai vagy napirendje, csak a pénzkeresés a célja. Ha a DragonForce csupán egy szolgáltatás más bűnözők számára – ki irányítja a szálakat és választja ki a brit kiskereskedők támadását? Az M&S hackjének korai szakaszában ismeretlen források arról tájékoztatták a kiberhírekkel foglalkozó Bleeping Computert, hogy a bizonyítékok egy laza kiberbűnözői

Forrás: https://www.bbc.com/news/articles/cgr5nen5gxyo