يدرك محللو Intel من التهديد من Google عددًا من الهجمات الإلكترونية المبررة ضد تجار التجزئة في الولايات المتحدة المرتبطة بنفس عصابة العنكبوت المبعثرة التي من المفترض أن تهاجم M&S و Co-op في المملكة المتحدة
يتعرض تجار التجزئة في الولايات المتحدة الآن للهجوم من”https://www.computerweekly.com/news/366623453/Scattered-Spider-on-the-hook-for-MS-cyber-attack” الهدف=”_blank” rel=”noopener”> العنكبوت المبعثر، مجموعة القرصنة الناطقة باللغة الإنجليزية والتي يشتبه في أنها خلف سلسلة من هجمات Dragonforce Ransomware في متاجر الشوارع العالية”https://www.computerweekly.com/news/366622847/Cyber-attack-downs-systems-at-Marks-Spencer” الهدف=”_blank” rel=”noopener”> Marks & Spencer (M & S) و”https://www.computerweekly.com/news/366623455/Co-op-shuts-off-IT-systems-to-contain-cyber-attack” الهدف=”_blank” rel=”noopener”> التعاون، وفقًا لمجموعة Google That Intelligence Group (GTIG).
وقالت GTIG وأصوابه في وحدة التهديد Mandiant التهديد Mandiant من Google إن الهجمات الإلكترونية لا تزال قيد التحقيق ، ولأسباب خصوصية لم يسمي الباحثون أي ضحايا في الولايات المتحدة. تمسك الفريق أيضًا من توفير أي إسناد رسمي في هذا الوقت.
“إن قطاع البيع بالتجزئة في الولايات المتحدة مستهدف حاليًا في عمليات الفدية والابتزاز التي نشتبه في أنها مرتبطة بـ UNC3944 ، والمعروفة أيضًا باسم العنكبوت المتناثر” ، قال كبير المحللين في GTIG لـ Computer Weekly عبر البريد الإلكتروني بعد ظهر هذا اليوم.
وقال: “الممثل ، الذي قيل إنه استهدف البيع بالتجزئة في المملكة المتحدة بعد توقف طويل ، له تاريخ في تركيز جهوده على قطاع واحد في وقت واحد ، ونتوقع أن يستمروا في استهداف القطاع على المدى القريب”. “يجب على تجار التجزئة الأمريكيين ملاحظة”.
وصف Hultquist العنكبوت المبعثر بأنه عدواني ، مبدع ، ومهارة للغاية في التحايل على أكثر البرامج الأمنية الناضجة والدفاعات.
وقال: “لقد حققوا نجاحًا كبيرًا في الهندسة الاجتماعية والاستفادة من أطراف ثالثة للدخول إلى أهدافهم”.
“قدم مانديانت”https://cloud.google.com/blog/topics/threat-intelligence/unc3944-proactive-hardening-recommendations” الهدف=”_blank” rel=”noopener”> دليل تصلب بناءً على تجربتنا مع مزيد من التفاصيل حول تكتيكاتهم والخطوات التي يمكن للمنظمات اتخاذها للدفاع عن نفسها. “
الهوية ، المصادقة خط الدفاع الأول
عند الدفاع عن العنكبوت المتناثر ، فإن تصلب ممارسات التحقق من الهوية والمصادقة تكون ذات أهمية قصوى.
لقد أثبتت العصابة فعاليتها للغاية في استخدام تقنيات الهندسة الاجتماعية لانتحال شخصية المستخدمين الذين يتواصلون مع ضحايا المساعدة في تكنولوجيا المعلومات ، وذلك كخطوة أولى ، سيحتاج موظفو HELPDESK إلى تدريب إضافي لتحديد الاتصالات الواردة بشكل إيجابي ، باستخدام أساليب مثل الكاميرا أو التحقق من المعلومات أو التحقق من الهوية الحكومية.
قد ترغب فرق الأمان أيضًا في النظر في تعطيل التحقق مؤقتًا أو تعزيز الصحة ، من أجل إعادة ضبط كلمة مرور الخدمة الذاتية ، وتوجيه كل من هذه المصادقة ومصادقة العوامل المتعددة من خلال سير العمل اليدوي للمساعدة في الوقت الحالي. يجب أيضًا إجراء الموظفين للمصادقة قبل تغيير طرق المصادقة ، مثل إضافة رقم هاتف جديد.
يمكن أن تنفذ فرق الأمن أيضًا ضمانات إضافية مثل طلب تغييرات من مواقع المكاتب الموثوقة ، أو استخدام التحقق خارج النطاق ، مثل الاتصال إلى رقم الهاتف المحمول المسجل للموظف ، قبل المتابعة بطلب حساس.
قد يكون من المفيد أيضًا التفكير في اتخاذ خطوات مثل حظر الرسائل القصيرة أو المكالمة الهاتفية أو البريد الإلكتروني كعناصر تحكم في المصادقة ، وذلك باستخدام تطبيقات MFA المقاومة للتصيد ، واستخدام مفاتيح الأمان FIDO2 للهويات المميزة. في نهاية المطاف ، قال مانديان ، يجب أن يكون الهدف هو الانتقال إلى مصادقة بدون كلمة مرور إن أمكن.
على نطاق أوسع ، ينبغي تعليم الموظفين غير IT تجنب الاعتماد على البيانات المتاحة للجمهور للتحقق ، مثل تواريخ الميلاد ، أو آخر أربعة أرقام من أرقام الضمان الاجتماعي الأمريكي.
هويات الضحايا غير ذات صلة
مع عدم وجود تجار تجزئة في الولايات المتحدة ، تم تسميته علنًا كضحايا لحملة العنكبوت المبعثر ، نيك آدمز ، المؤسس المشارك والمدير التنفيذي في”https://0rcus.com/” الهدف=”_blank” rel=”noopener”> 0rcus، منصة أتمتة الأمن ، قالت إن هويات الضحايا كانت غير ذات صلة إلى حد كبير بالنظر إلى الالتهاب السلبي لسلسلة التهديد.
وقال: “سواء كان Dragonforce أو العنكبوت المبعثر أو حلقة تابعة مشتركة تنفذ التسلل غير ذي صلة”. “من يهتم الجحيم؟ التداخل في TTPs يثبت تصنيع التسوية. لا تحتاج الجهات الفاعلة في التهديد إلى مآثر متقدمة. ببساطة ، يتم وضع العمى التنظيمي في الحالات الشاذة السلوكية ، وسير عمل هوية المساهمين ، ويساعد على تعامل مع الهندسة الاجتماعية كحظة خدمة عملاء.
وقال آدمز: “التصيد ، وإساءة معاملة الفضل ، وضرب الكوبالت ، وحركة لوتل ، وأنفاق SystemBC ، واستخراج Mimikatz ، وبيانات التدريج إلى Mega أصبحت الآن سلسلة قتل سلعة”. “ما حدث بعد ذلك هو التزامن: الوصول الكامل ، التوسع الجانبي ، ترشيح البيانات ، التشفير الانتقائي ، الرافعة المالية الفدية. كانت الحمولة مجرد بيان صحفي لأن الحملة قد نجحت بالفعل قبل ذلك بوقت طويل.”
ودعا المنظمات إلى البدء في التفكير مثل ممثلي التهديد. قال آدمز: “سوف يتبع الانتهاك التالي نفس المسار”. “بنقرة واحدة ، وذوي الاعتماد ، وغياب الطبقة الدفاعية. تبخرت مليار آخر في الحد الأقصى للسوق.
“المنظمات التي تنجو من ما سيحدث هي تلك التي تضمن منطق التهديد على مستوى البروتوكول ، وتعيين الوصول إلى الجذر للمشغلين الذين يعرفون ما يعارضهم ، ويتوقفون عن تضليل الجميع من خلال التأكيد على أن الامتثال يساوي السيطرة.
مطالبة التأمين M&S من المحتمل أن تتصدر 100 مليون جنيه إسترليني
مرة أخرى في المملكة المتحدة ، اقترحت التقارير اليوم (14 مايو) أن شركات التأمين على M&S قد تجد نفسها على خطاف ما يصل إلى 100 مليون جنيه إسترليني بعد هجوم الفدية ، مع تعرض أليانز وبيزلي بشكل خاص.
وفقا لالأوقات الماليةومن المحتمل أن تغطي المطالبة خسائر المبيعات المفقودة عبر الإنترنت وخرق البيانات بعد سرقة بيانات العميل من أنظمة بائع التجزئة. لقد فقدت M&S بالفعل عشرات الملايين من الجنيهات نتيجة للهجوم السيبراني ، الذي ترك سلاسل الإمداد الغذائي في حالة من الفوضى.
اقرأ المزيد عن إدارة الحوادث والانتعاش خرق البيانات
- “https://www.computerweekly.com/visuals/ComputerWeekly/Hero Images/cyber-security-attack-virus-malware-Skorzewiak-adobe_searchsitetablet_520X173.jpg” srcset=”https://www.computerweekly.com/visuals/ComputerWeekly/HeroImages/cyber-security-attack-virus-malware-Skorzewiak-adobe_searchsitetablet_520X173.jpg 960w,https://www.computerweekly.com/visuals/ComputerWeekly/HeroImages/cyber-security-attack-virus-malware-Skorzewiak-adobe.jpg 1280w” Alt>
تجبر M&S كلمة مرور العميل على إعادة تعيين كلمة مرور العميل بعد خرق البيانات
بواسطة: أليكس Scroxton
- “https://www.computerweekly.com/visuals/ComputerWeekly/Hero Images/cyber-security-attack-hack-breach-MaksymFilipchuk-adobe_searchsitetablet_520X173.jpg” srcset=”https://www.computerweekly.com/visuals/ComputerWeekly/HeroImages/cyber-security-attack-hack-breach-MaksymFilipchuk-adobe_searchsitetablet_520X173.jpg 960w,https://www.computerweekly.com/visuals/ComputerWeekly/HeroImages/cyber-security-attack-hack-breach-MaksymFilipchuk-adobe.jpg 1280w” Alt>
تنتشر الفوضى في تعاونية و M&S بعد هجمات Dragonforce
بواسطة: أليكس Scroxton
- “https://www.computerweekly.com/visuals/ComputerWeekly/Hero Images/retail-supermarket-aisles-AlenKadr-adobe_searchsitetablet_520X173.jpg” srcset=”https://www.computerweekly.com/visuals/ComputerWeekly/HeroImages/retail-supermarket-aisles-AlenKadr-adobe_searchsitetablet_520X173.jpg 960w,https://www.computerweekly.com/visuals/ComputerWeekly/HeroImages/retail-supermarket-aisles-AlenKadr-adobe.jpg 1280w” Alt>
يقول الرئيس التنفيذي لشركة NCSC:
بواسطة: أليكس Scroxton
- “https://www.computerweekly.com/visuals/ComputerWeekly/Hero Images/cyber-security-attack-virus-malware-Skorzewiak-adobe_searchsitetablet_520X173.jpg” srcset=”https://www.computerweekly.com/visuals/ComputerWeekly/HeroImages/cyber-security-attack-virus-malware-Skorzewiak-adobe_searchsitetablet_520X173.jpg 960w,https://www.computerweekly.com/visuals/ComputerWeekly/HeroImages/cyber-security-attack-virus-malware-Skorzewiak-adobe.jpg 1280w” Alt>
أصبح Harrods أحدث متاجر تجزئة في المملكة المتحدة تقع ضحية الهجوم السيبراني
بواسطة: أليكس Scroxton