Les pannes en cours chez le géant britannique de la distribution Marks & Spencer sont causées par une attaque de ransomware qui serait menée par un collectif de piratage connu sous le nom de » Scattered Spider », a appris Breachtrace de plusieurs sources.
Marks & Spencer (M&S) est un détaillant multinational britannique qui emploie 64 000 employés et vend divers produits, notamment des vêtements, de la nourriture et des articles ménagers dans plus de 1 400 magasins à travers le monde.
Mardi dernier, M & S a confirmé avoir subi une cyberattaque qui a provoqué des perturbations généralisées, notamment sur son système de paiement sans contact et de commande en ligne. Aujourd’hui, Sky News a rapporté que la perturbation se poursuivait, avec environ 200 employés d’entrepôt priés de rester chez eux pendant que l’entreprise répond à l’attaque.
Breachtrace a maintenant appris que les pannes en cours sont causées par une attaque de ransomware qui a crypté les serveurs de l’entreprise.
Les auteurs de la menace auraient d’abord violé M&S dès février, lorsqu’ils auraient volé les disques NTD du domaine Windows.dit fichier.
Un DNT.le fichier dit est la base de données principale des services Active Directory exécutés sur un contrôleur de domaine Windows. Ce fichier contient les hachages de mot de passe pour les comptes Windows, qui peuvent être extraits par les auteurs de menaces et déchiffrés hors ligne pour accéder aux mots de passe en texte brut associés.
À l’aide de ces informations d’identification, un auteur de menace peut ensuite se propager latéralement dans tout le domaine Windows, tout en volant des données sur les périphériques réseau et les serveurs.
Des sources ont déclaré à Breachtrace que les auteurs de la menace ont finalement déployé le décrypteur DragonForce sur les hôtes VMware ESXi le 24 avril pour crypter les machines virtuelles.
Breachtrace a appris que Marks et Spencer ont demandé l’aide de CrowdStrike, Microsoft et Fenix24 pour enquêter et répondre à l’attaque.
L’enquête jusqu’à présent indique que le collectif de piratage connu sous le nom de Scattered Spider, ou comme Microsoft les appelle, Octo Tempest, est à l’origine de l’attaque.
Lorsqu’ils ont été contactés avec ces informations, M&S a déclaré qu’ils ne pouvaient pas entrer dans les détails du cyberincident.
Qui est l’araignée dispersée?
Scattered Spider, également connu sous le nom de 0ktapus, Starfraud, UNC3944, Scatter Swine, Octo Tempest et Muddled Libra, est un groupe d’acteurs de la menace qui sont habiles à utiliser les attaques d’ingénierie sociale, le phishing, le bombardement d’authentification multifacteur (MFA) (fatigue MFA ciblée) et l’échange de cartes SIM pour obtenir un accès initial au réseau sur les grandes organisations.
Le groupe comprend de jeunes membres anglophones (aussi jeunes que 16) avec des compétences diverses qui fréquentent les mêmes forums de hackers, canaux Telegram et serveurs Discord. Ces médiums sont ensuite utilisés pour planifier et mener des attaques en temps réel.
Certains membres feraient partie de la « Comm » – une communauté peu soudée impliquée dans des actes violents et des cyberincidents qui ont attiré l’attention des médias.
Alors que les médias et les chercheurs qualifient couramment Scattered Spider de gang cohésif, il s’agit en fait d’un réseau d’individus, avec différents acteurs de la menace participant à chaque attaque. Cette structure fluide est ce qui rend difficile leur suivi.
Le groupe a d’abord commencé dans la fraude financière et le piratage des médias sociaux, mais a ensuite avancé vers des attaques d’ingénierie sociale extrêmement sophistiquées pour voler des crypto-monnaies à des particuliers ou violer des entreprises dans des attaques d’extorsion.
Le groupe a intensifié ses attaques en septembre 2023 lorsqu’il a violé MGM Resorts en utilisant une attaque d’ingénierie sociale usurpant l’identité d’un employé lorsqu’il appelait le service d’assistance informatique de l’entreprise. Dans cette attaque, les auteurs de la menace ont déployé le ransomware BlackCat pour chiffrer plus de 100 hyperviseurs VMware ESXi.
Ce fut un moment charnière dans le paysage des ransomwares, car c’était la première indication connue que des acteurs de la menace anglophones travaillaient avec des gangs de ransomwares russophones.
Depuis lors, Scattered Spider est connu pour agir en tant qu’affilié pour RansomHub, Qilin et maintenant DragonForce.
DragonForce est une opération de ransomware lancée en décembre 2023 et qui a récemment commencé à promouvoir un nouveau service permettant aux équipes de cybercriminalité de mettre leurs services en marque blanche.
Les chercheurs associent généralement les attaques au groupe d’araignées dispersées en fonction d’indicateurs spécifiques de compromission, notamment des attaques de phishing par vol d’informations d’identification ciblant les plates-formes SSO, des attaques d’ingénierie sociale usurpant l’identité du bureau d’aide informatique et d’autres tactiques.
La société de cybersécurité Silent Push a publié un rapport plus tôt ce mois-ci décrivant les attaques de phishing les plus récentes de Scattered Spider.
Au cours des deux dernières années, les forces de l’ordre ont de plus en plus ciblé le groupe, arrêtant plusieurs membres présumés aux États-Unis, au Royaume-Uni et en Espagne.