M&S подтверждает, что социальная инженерия привела к масштабной атаке с использованием вирусов-вымогателей

Сегодня компания M&S подтвердила, что сеть розничной торговой точки изначально подверглась взлому в результате «изощренной атаки с использованием чужого имени», которая в конечном итоге привела к атаке с использованием вируса-вымогателя DragonForce.

Председатель совета директоров M&S Арчи Норман заявил об этом на слушаниях в подкомитете по вопросам экономической безопасности парламента Великобритании в связи с недавними атаками на сектор розничной торговли в стране.

Норман не стал вдаваться в подробности, но заявил, что злоумышленники выдавали себя за одного из 50 000 человек, работающих в компании, чтобы обманом заставить третью сторону сбросить пароль сотрудника.

«В нашем случае первоначальный вход, который состоялся 17 апреля, был осуществлён с помощью того, что сейчас называют социальной инженерией. Насколько я могу судить, это эвфемизм для выдачи себя за другое лицо», — пояснил Норман депутатам парламента.

«И это была изощрённая имитация. Они не просто подошли и не спросили: «Смените ли вы мой пароль?». Они представились кем-то, у кого есть свои данные. И часть входа также была связана с третьим лицом».

Как сообщало издание FT в мае, компания Tata Consultancy Services, предоставляющая услуги ИТ-аутсорсинга, начала расследование на предмет своей непреднамеренной причастности к атаке на M&S. Tata предоставляет M&S техническую поддержку и, как полагают, подверглась обману со стороны злоумышленников, заставив их сбросить пароль сотрудника, что впоследствии было использовано для взлома сети M&S.

Впервые M&S назвал в качестве потенциального источника атаки вирус-вымогатель DragonForce, который, по его словам, предположительно действует из Азии.

Предполагается, что зачинщиком атаки является DragonForce, организация, занимающаяся распространением вирусов-вымогателей, базирующаяся, как мы полагаем, в Азии.

После атаки многие СМИ ошибочно связывали хакерскую группу «DragonForce Malaysia» с группой, распространяющей вирус-вымогатель DragonForce. Считается, что хакеры — пропалестинская группировка, действующая из Малайзии, в то время как сама операция по распространению вируса-вымогателя DragonForce, как полагают, осуществляется в России.

Как впервые сообщил BleepingComputer, атаку на M&S осуществили злоумышленники, связанные со Scattered Spider, которые внедрили в сеть вирус-вымогатель DragonForce.

Это заставило M&S намеренно отключить все свои системы, чтобы предотвратить распространение атаки.

Однако к тому времени было уже слишком поздно: многочисленные серверы VMware ESXi были зашифрованы, а источники сообщили BleepingComputer, что, предположительно, было украдено около 150 ГБ данных.

В своей работе программа-вымогатель использует тактику двойного вымогательства, которая включает не только шифрование устройств, но и кражу данных и угрозу их публикации в случае неуплаты выкупа.

Хотя BleepingComputer сообщил, что данные были украдены в ходе атаки, DragonForce не разместила на своём сайте утечки данных информацию о M&S. Это может указывать на то, что розничная сеть заплатила выкуп, чтобы предотвратить утечку украденных данных.

Когда во время слушаний Нормана спросили о требованиях выкупа, он сказал, что они заняли позицию невмешательства при общении с лицами, представляющими угрозу.

«Мы сразу приняли решение, что никто в M&S не будет напрямую взаимодействовать с источниками угроз. Мы посчитали правильным доверить это профессионалам, имеющим опыт в этом вопросе», — пояснил Норман.

Норман, вероятно, имеет в виду фирмы, занимающиеся ведением переговоров о программах-вымогателях, которые помогают компаниям вести переговоры с субъектами угроз и получать доступ к биткоинам для осуществления платежей.

Когда Нормана прямо спросили, заплатили ли они выкуп, он ответил, что они не обсуждают эти подробности публично, поскольку «не считают, что это отвечает общественным интересам», но полностью поделились этой темой с NCA и властями.

Банды, занимающиеся распространением вирусов-вымогателей, редко делают что-либо бесплатно, и если данные были украдены и до сих пор не утечка, то либо оплата уже произведена, либо злоумышленники все еще ведут переговоры с M&S.