Zsarolóvírusos támadás veszélyezteti az ügyféladatokat, elismeri a cég
A kiberbűnözők a BBC Newsnak elmondták, hogy a Co-op ellen végrehajtott hackertámadásuk sokkal súlyosabb, mint amit a vállalat korábban elismert. A hackerek kapcsolatba léptek a BBC-vel, bizonyítékot szolgáltatva arról, hogy sikerült behatolniuk az IT-rendszerekbe, és hatalmas mennyiségű ügyfél- és alkalmazotti adatot loptak el. A pénteken tett megkeresés után a Co-op szóvivője megerősítette, hogy a hackerek „hozzáfértek a jelenlegi és korábbi tagjaink jelentős számú adatához”. A Co-op korábban azt állította, hogy „proaktív intézkedéseket” tett a hackerek visszaszorítására, és hogy a támadás „csak kis mértékben befolyásolja” a működésüket. Ezen kívül azt is hangsúlyozták, hogy „nincs bizonyíték arra, hogy az ügyféladatok sérültek volna”.
A kiberbűnözők, akik a DragonForce néven ismertek, azt állítják, hogy 20 millió ember magánadatait birtokolják, akik csatlakoztak a Co-op tagsági programjához, de a vállalat nem erősítette meg ezt a számot. A hackerek azt is állítják, hogy felelősek az M&S ellen folyamatban lévő támadásokért, valamint a Harrods elleni megkísérelt hackelésért. A támadások miatt Pat McFadden kormányzati miniszter figyelmeztette a vállalatokat, hogy „a kiberbiztonságot abszolút prioritásként kell kezelniük”.
A névtelen hackerek képernyőképeket mutattak be a BBC-nek arról az első zsaroló üzenetről, amelyet a Co-op kiberbiztonsági vezetőjének küldtek egy belső Microsoft Teams csevegés során április 25-én. Az üzenetben az állt: „Helló, elloptuk az adatokat a cégedtől. Van ügyféladatbázisunk és Co-op tagsági kártya adataink.” Ezen kívül a hackerek megmutatták egy hívás képernyőképét is, amely a biztonsági vezetővel zajlott körülbelül egy héttel ezelőtt. A hackerek azt állítják, hogy más ügyvezetői bizottsági tagoknak is üzentek a cég zsarolásának részeként.
A Co-op több mint 2500 szupermarkettel, 800 temetkezési vállalattal és egy biztosító céggel rendelkezik, összesen körülbelül 70 000 alkalmazottal az Egyesült Királyságban. A kiber támadást a vállalat szerdán jelentette be. Csütörtökön kiderült, hogy a Co-op dolgozóit arra ösztönözték, hogy tartsák bekapcsolva a kameráikat a Teams-megbeszélések során, megtiltották számukra a hívások rögzítését vagy átiratát, és ellenőrizniük kellett, hogy az összes résztvevő valóban Co-op munkatárs legyen. Ez a biztonsági intézkedés nyilvánvalóan a hackerek belső Teams csevegésekhez és hívásokhoz való hozzáférése miatt vált szükségessé.
A DragonForce a BBC-nek megosztott adatbázisokat, amelyek tartalmazzák az összes alkalmazott felhasználónevét és jelszavát. Ezen kívül elküldtek egy mintát 10 000 ügyfél adatáról, beleértve a Co-op tagsági kártyaszámokat, neveket, lakcímeket, e-maileket és telefonszámokat. A BBC megsemmisítette az általa kapott adatokat, és nem publikálja, illetve nem osztja meg ezeket a dokumentumokat. Az Co-op tagsági adatbázis rendkívül értékesnek számít a vállalat számára.
A BBC megkeresése óta a Co-op felfedte a kibertámadás teljes mértékét a dolgozói és a tőzsdén. A szóvivő kijelentette: „Ez az adat a Co-op csoport tagjainak személyes adatait tartalmazza, mint például nevek és elérhetőségek, de nem tartalmazta a tagok jelszavait, bank- vagy hitelkártya adatait, tranzakciókat vagy bármilyen információt a Co-op csoport termékeivel vagy szolgáltatásaival kapcsolatban.”
A DragonForce szeretné, ha a BBC beszámolna a hackelésről, mivel láthatóan pénzért próbálják zsarolni a céget. Azonban a bűnözők nem árulták el, mit terveznek tenni az adatokkal, ha nem kapnak pénzt. A DragonForce egy zsarolóprogram csoport, amely ismert arról, hogy titkosítja az áldozatok adatait, és váltságdíjat követel a dekódoláshoz szükséges kulcsért. Ezenkívül az adatok ellopása is része a zsaroló taktikájuknak. A DragonForce egy affilált kiberbűnözői szolgáltatást működtet, így bárki használhatja a rosszindulatú szoftverüket és weboldalukat támadások lebonyolítására és zsarolásra.
Nem ismert, hogy ki használja végső soron a DragonForce szolgáltatását a kiskereskedők megtámadására, de néhány biztonsági szakértő szerint a látott taktikák hasonlítanak egy lazán koordinált hacker csoport, a Scattered Spider vagy Octo Tempest módszereire. A banda a Telegram és Discord csatornákon működik, angolul beszélő fiatalokból áll, akik közül néhányan még tinédzserek is. A Co-op hackereivel folytatott beszélgetések szöveges formában zajlottak, de világos, hogy a hacker, aki magát szóvivőnek nevezte, folyékonyan beszélte az angolt. Azt állítják, hogy a hackerek közül kettő „Raymond Reddington” és „Dembe Zuma” néven szeretné, ha ismernék őket, a Blacklist című amerikai bűnügyi thriller szereplőiről elnevezve, amelyben egy körözött bűnöző segít a rendőrségnek más bűnözők letartóztatásában.
A Co-op közölte, hogy együttműködik a Nemzeti Kiberbiztonsági Központtal (NCSC) és a Nemzeti Bűnüldözési Ügynökséggel (NCA), és sajnálatát fejezte ki, hogy ez a helyzet kialakult. Az Egyesült Királyság kormányzati tisztviselői találkoztak a kibertámadásokkal kapcsolatban, a nemzeti biztonsági személyzet és a NCSC vezérigazgatója a kiskereskedők támogatásáról tárgyalt. Pat McFadden miniszter, aki a kiberbiztonságért felelős, a jövő héten egy fontos beszédet fog tartani, amelyben a kormány lépéseit ismerteti, és hangsúlyozni fogja, hogy a támadásoknak „ébresztő hívásként” kell szolgálniuk minden brit vállalat számára. „Egy olyan világban, ahol a kiberbűnözők folyamatosan profitot keresnek – minden órában és minden nap próbálkozva – a cégeknek a kiberbiztonságot abszolút prioritásként kell kezelniük.”
Ezeket is érdemes megnézni
Az EU és az Egyesült Államok felfüggeszti az Airbus és a Boeing tiltott támogatásai miatt bevezetett vámtarifákat
Óvakodj a hamis IT hívásoktól, figyelmeztet a brit kibercentrum a Co-op és M&S hackerek után
