Google memperingatkan hari ini bahwa peretas yang menggunakan taktik laba -laba yang tersebar terhadap rantai ritel di Inggris juga telah mulai menargetkan pengecer di Amerika Serikat.
“Sektor ritel AS saat ini sedang ditargetkan dalam operasi ransomware dan pemerasan yang kami duga terkait dengan UNC3944, juga dikenal sebagai Spider yang tersebar,” John Hultquist, kepala analis di Google Ancaman Intelijen Group, mengatakan kepada BleepingComputer.
“Aktor, yang dilaporkan telah menargetkan ritel di Inggris setelah absen, memiliki sejarah memfokuskan upaya mereka pada satu sektor pada suatu waktu, dan kami mengantisipasi mereka akan terus menargetkan sektor ini dalam waktu dekat. Pengecer AS harus mencatat.”
Sebagai pertama kali dilaporkan oleh BleepingComputer, Raksasa ritel Inggris Marks & Spencer (M&S) pertama kali dilanggar dalam serangan ransomware di mana aktor ancaman dienkripsi mesin virtual pada host ESXI VMware dengan Enkriptor Dragonforce. Serangan ini disebabkan oleh Octo Tempest, nama Microsoft untuk Spider yang tersebar.
Co-op juga berpengalaman insiden cyber lainnya, mengkonfirmasi bahwa penyerang mencuri data dari banyak anggota saat ini dan sebelumnya. Harrods juga diungkapkan Pada tanggal 1 Mei bahwa mereka dipaksa untuk membatasi akses internet ke situs setelah penyerang mencoba menyusup ke jaringannya, menunjukkan respons aktif terhadap serangan cyber meskipun pelanggaran belum dikonfirmasi.
Operasi Ransomware Dragonforce telah mengklaim ketiga serangan itudan BleepingComputer telah belajar bahwa para penyerang yang mengatur mereka telah menggunakan taktik rekayasa sosial yang sama terkait dengan aktor ancaman laba -laba yang tersebar. Dragonforce muncul pada bulan Desember 2023 dan telah Baru -baru ini mulai mengiklankan layanan baru Dirancang untuk memungkinkan kelompok kejahatan dunia maya lainnya menjadi label putih layanan mereka.
Sejak Spider yang tersebar mulai menargetkan pengecer Inggris pada bulan April, Pusat Keamanan Cyber Nasional Inggris (NCSC) telah Bimbingan yang diterbitkan untuk membantu organisasi Inggris memperkuat pertahanan keamanan siber mereka dan juga memiliki memperingatkan Bahwa serangan siber ini harus dilihat sebagai “panggilan bangun”, karena salah satu dari mereka bisa menjadi target berikutnya.
UK NCSC belum mengaitkan insiden ini dengan kelompok peretasan tertentu atau aktor ancaman dan mengatakan masih bekerja dengan para korban untuk menentukan hal itu.
“Sementara kami memiliki wawasan, kami belum dalam posisi untuk mengatakan apakah serangan ini terkait, jika ini adalah kampanye bersama oleh satu aktor, atau apakah tidak ada hubungan di antara mereka sama sekali,” dinyatakan NCSC. “Kami bekerja dengan para korban dan kolega penegak hukum untuk memastikannya.”
Aktor Ancaman Laba -Laba yang Tersebar
Laba -laba yang tersebar (juga dilacak sebagai 0Ktapus, UNC3944, Menyebarkan babiStarfraud, dan Libra yang kacau) adalah istilah yang digunakan untuk menggambarkan kumpulan cairan aktor ancaman yang dikenal karena melanggar banyak organisasi profil tinggi di seluruh dunia dalam serangan rekayasa sosial yang canggih yang juga melibatkan phishing, pertukaran SIM, pemboman otentikasi multi-faktor (MFA) (juga dikenal sebagai kelelahan MFA yang ditargetkan).
Serangan mereka meningkat pada bulan September 2023 ketika mereka resor MGM yang dilanggar, menggunakan ransomware blackcat untuk mengenkripsi lebih dari 100 vmware ESXI hypervisors Setelah melanggar jaringan dengan menyamar sebagai karyawan saat memanggil meja bantuan TI.
Sejak itu, mereka juga bertindak sebagai afiliasi untuk berbagai operasi ransomware lainnya, termasuk Ransomhub, Melakukandan, sekarang, Dragonforce. Serangan lain yang terkait dengan laba -laba yang tersebar termasuk yang aktif Twilio, Coinbase, Doordash, Caesars, MailChimp, Game RiotDan Reddit.
Beberapa aktor ancaman laba -laba yang tersebar juga diyakini sebagai bagian dari “com,” komunitas yang terhubung secara longgar yang terlibat dalam serangan cyber dan tindakan kekerasan yang sering menarik perhatian media.
Penjahat dunia maya ini semuda 16 tahun, dan sebagian besar adalah penutur bahasa Inggris yang sering mengunjungi saluran telegram yang sama, server perselisihan, dan forum peretas di mana mereka merencanakan dan melakukan serangan mereka secara real time.
Meskipun outlet berita dan peneliti keamanan sering menggunakan “laba-laba yang tersebar” untuk menggambarkan kolektif ini sebagai geng yang kohesif, itu mengacu pada kelompok aktor ancaman yang longgar yang menggunakan taktik spesifik selama serangan mereka, sehingga menantang untuk melacak kegiatan mereka.
“Aktor -aktor ini agresif, kreatif, dan sangat efektif dalam menghindari program keamanan matang. Mereka telah banyak sukses dengan rekayasa sosial dan memanfaatkan pihak ketiga untuk mendapatkan masuk ke target mereka,” kata Hultquist kepada BleepingComputer hari ini.
