Retailerul britanic Co-op a confirmat că datele a 6,5 milioane de persoane au fost furate în urma unui atac cibernetic masiv care a avut loc în luna aprilie și care a blocat sistemele și a cauzat penurie de alimente în magazinele alimentare.
Co-op (prescurtare de la Co-operative Group) este una dintre cele mai mari cooperative de consum din Regatul Unit, care operează magazine alimentare, servicii funerare, asigurări și servicii juridice. Este deținută de milioane de membri care beneficiază de reduceri la servicii și participă la administrarea companiei.
Shirine Khoury-Haq, directorul general al Co-op, și-a cerut scuze în mod public în cadrul unei emisiuni de la BBC, confirmând că atacatorii au reușit să fure datele tuturor celor 6,5 milioane de membri.
„Datele lor au fost copiate, iar infractorii au avut acces la ele, așa cum au atunci când piratează alte organizații. Din păcate, aceasta este partea oribilă a situației”, a spus Khoury-Haq.
Deși în atac nu au fost expuse informații financiare sau tranzacționale, informațiile de contact ale membrilor săi au fost furate.
Directorul general a spus că incidentul a fost perceput ca un atac personal, nu la adresa ei, ci mai degrabă la adresa membrilor și angajaților Co-op care au fost afectați.
Atacul cibernetic a avut loc în aprilie , obligând Co-op să închidă mai multe sisteme IT pentru a preveni răspândirea ulterioară a actorilor amenințători pe dispozitive și, în cele din urmă, implementând criptorul ransomware DragonForce.
Inițial minimalizat ca o tentativă de intruziune în rețeaua sa, compania a confirmat ulterior că o cantitate „semnificativă” de date a fost accesată și furată în timpul atacului.
Surse au declarat pentru BleepingComputer la acea vreme că breșa de securitate a avut loc inițial pe 22 aprilie, după ce actorii amenințători au efectuat un atac de inginerie socială care le-a permis să reseteze parola unui angajat.
Odată ce au obținut acces la rețea, au accesat alte dispozitive și, în cele din urmă, au furat fișierul Windows NTDS.dit al domeniului Windows. Acest fișier este o bază de date pentru Windows Active Directory Services care conține hash-uri de parole pentru conturile Windows.
Heckerii fură de obicei acest fișier pentru a extrage și a sparge parolele offline, permițându-le să se răspândească mai departe către alte dispozitive din rețea.
BleepingComputer a fost informat că atacul a fost legat de actori amenințători asociați cu Scattered Spider, care au fost legați de atacul cibernetic Marks & Spencer (M&S) în care a fost implementat ransomware-ul DragonForce.
BBC a relatat că a vorbit cu operatorul ransomware DragonForce despre Co-op, care a confirmat că unul dintre afiliații săi se află în spatele atacului. De asemenea, au distribuit mostre de date BBC, susținând că datele corporative și ale clienților Co-op au fost furate în timpul atacului.
Săptămâna trecută, Agenția Națională pentru Combaterea Criminalității (NCA) din Marea Britanie a arestat patru persoane suspectate de implicare în atacurile asupra magazinelor Co-op și M&S și într-o tentativă de atac asupra magazinelor Harrods .
Cei care au fost arestați sunt trei tineri (19 ani, 17 ani și 20 de ani).
Se pare că unul dintre suspecții arestați este legat de un atac din 2023 asupra MGM Resorts, care a dus la criptarea a peste 100 de mașini virtuale VMware ESXi .
Atacul MGM a fost atribuit și lui Scattered Spider, care lucra la acea vreme cu operațiunea ransomware BlackCat.
