Marks & Spencer

英小売大手マークス&スペンサーで続いている障害は、「Scattered Spider」として知られるハッキング集団が行ったとみられるランサムウェア攻撃によるものであることが、複数の情報源から判明した。

マークス&スペンサー(M&S)は英国の多国籍小売企業で、従業員64,000人を擁し、世界1,400以上の店舗で衣料品、食品、家庭用品など様々な商品を販売している。

先週火曜日、M&Sはサイバー攻撃を受け、非接触型決済システムやオンライン注文を含む広範囲に混乱が生じたことを確認した。今日、Sky Newsが伝えたところによると、混乱は続いており、約200人の倉庫従業員が自宅待機を命じられている。

現在も続いている障害は、同社のサーバーを暗号化したランサムウェア攻撃によるものであることがわかった。

脅威者は2月の初めにM&Sに侵入し、WindowsドメインのNTDS.ditファイルを盗んだとされている。

NTDS.ditファイルは、Windowsドメイン・コントローラー上で動作するActive Directory Servicesのメイン・データベースである。このファイルには、Windowsアカウントのパスワードハッシュが含まれており、脅威行為者はこれを抽出し、オフラインでクラックして、関連するプレーンテキストのパスワードにアクセスすることができます。

これらの認証情報を使って、脅威者はWindowsドメイン全体に横展開し、ネットワーク・デバイスやサーバーからデータを盗むことができる。

情報筋によると、脅威行為者は最終的に4月24日にDragonForce暗号化ツールをVMware ESXiホストに展開し、仮想マシンを暗号化したとのことです。

マークス・アンド・スペンサー社は、この攻撃の調査と対応のため、クラウドストライク社、マイクロソフト社、Fenix24社に協力を要請した。

これまでの調査では、Scattered Spider(マイクロソフトではOcto Tempestと呼んでいる)として知られるハッキング集団が攻撃の背後にいることが判明している。

この情報に関してM&Sに問い合わせたところ、サイバーインシデントに関する詳細には踏み込めないとのことだった。

このサイバー攻撃、あるいは他のサイバー攻撃に関する情報をお持ちですか?情報を共有したい場合は、LawrenceA.11のシグナル、lawrence.abrams@bleepingcomputer.com の電子メール、またはヒント・フォームを使用して、安全かつ内密にご連絡ください。

スキャッタード・スパイダーとは?

0ktapus、Starfraud、UNC3944Scatter SwineOcto TempestMuddled Libraとしても知られるScattered Spiderは、ソーシャル・エンジニアリング攻撃、フィッシング、多要素認証(MFA)ボミング(標的型MFA疲労)、SIMスワッピングを巧みに利用し、大規模組織への初期ネットワーク・アクセスを獲得する脅威行為者のグループです。

このグループには、同じハッカー・フォーラム、テレグラム・チャンネル、ディスコード・サーバーに頻繁に出入りする、多様なスキルを持つ英語を話す若いメンバー(16歳)が含まれている。そして、これらの媒体を利用してリアルタイムで攻撃を計画し、実行している。

メンバーの中には、暴力行為やサイバー事件に関与し、メディアで広く注目されている緩やかなコミュニティ「コミュ」の一員と思われる者もいる。

メディアや研究者は一般的にScattered Spiderを結束したギャングと呼んでいるが、実際には個人のネットワークであり、攻撃ごとに異なる脅威アクターが参加している。この流動的な構造が、彼らの追跡を困難にしている。

同グループは当初、金融詐欺やソーシャルメディアへのハッキングから始まったが、その後、個人から暗号通貨を盗んだり、恐喝攻撃で企業に侵入したりする極めて高度なソーシャル・エンジニアリング攻撃に発展した。

同グループは2023年9月、MGMリゾーツ社に侵入し、同社のITヘルプデスクに電話をかける際に従業員になりすますソーシャル・エンジニアリング攻撃を利用して攻撃をエスカレートさせた。この攻撃で、脅威者はBlackCatランサムウェアを展開し、100台以上のVMware ESXiハイパーバイザーを暗号化した

これは、英語圏の脅威行為者がロシア語圏のランサムウェア・ギャングと協力していることを示す最初の兆候であり、ランサムウェアの状況において極めて重要な瞬間だった。

それ以来、Scattered SpiderはRansomHubQilin、そして今回のDragonForceのアフィリエイトとして活動していることが知られている。

DragonForceは2023年12月に立ち上げられたランサムウェアの運営会社で、最近、サイバー犯罪チームが自分たちのサービスをホワイトラベル化することを許可する新しいサービスを宣伝し始めた

研究者は一般的に、SSOプラットフォームを標的とした認証情報を盗むフィッシング攻撃、ITヘルプデスクトップを装ったソーシャルエンジニアリング攻撃、その他の手口など、侵害の具体的な指標に基づいてScattered Spiderグループによる攻撃を関連付けています。

サイバーセキュリティ企業のSilent Pushは今月初め、Scattered Spiderの最新のフィッシング攻撃の概要をまとめたレポートを発表した

過去2年間、法執行機関はこのグループを標的とする傾向を強めており、米国英国スペインで複数のメンバーとされる人物を逮捕している。