Έπειτα από τρεις σημαντικές κυβερνοεπιθέσεις που έπληξαν κορυφαίες εμπορικές αλυσίδες στο Ηνωμένο Βασίλειο, το Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC) εξέδωσε επείγουσες οδηγίες ασφαλείας, καλώντας όλες τις επιχειρήσεις να ενισχύσουν τις αμυντικές τους πρακτικές στον τομέα της κυβερνοασφάλειας.
Αφορμή για την παρέμβαση αυτή αποτέλεσαν τα σοβαρά περιστατικά παραβίασης που σημειώθηκαν στις γνωστές αλυσίδες Marks & Spencer, Co-op και Harrods — τρεις επιχειρήσεις-κολοσσοί του βρετανικού λιανεμπορίου.
Η πρώτη επίθεση στόχευσε τα Marks & Spencer, τα οποία δέχτηκαν χτύπημα από το ransomware DragonForce. Πιστεύεται ότι πίσω από την επίθεση βρίσκεται η ομάδα Scattered Spider. Ως αποτέλεσμα, διαταράχθηκαν κρίσιμες υπηρεσίες της εταιρείας όπως οι online αγορές, οι ανέπαφες πληρωμές και η υπηρεσία Click & Collect.
Δείτε επίσης: Νέα παράκαμψη EDR “Bring Your Own Installer” χρησιμοποιείται σε επιθέσεις ransomware
Λίγες ημέρες αργότερα, η Co-op ανακοίνωσε ότι είχε αντιμετωπίσει ύποπτη δραστηριότητα στο δίκτυό της, προχωρώντας σε περιορισμό πρόσβασης στο εταιρικό VPN ως προληπτικό μέτρο. Αν και στην αρχή υπονοήθηκε πως αποτράπηκε η επίθεση, τελικά επιβεβαιώθηκε η κλοπή μεγάλου όγκου προσωπικών δεδομένων πελατών.
Την 1η Μαΐου, το Harrods γνωστοποίησε ότι μια προσπάθεια διείσδυσης στο δίκτυό του οδήγησε σε περιορισμούς διαδικτυακής πρόσβασης, ένδειξη άμεσης αντίδρασης του οργανισμού, αν και δεν επιβεβαιώθηκε επίσημα παραβίαση.
Και οι τρεις επιθέσεις φέρεται να σχετίζονται με το ransomware DragonForce. Σύμφωνα με το BleepingComputer, οι δράστες φέρεται να εφάρμοσαν την ίδια τεχνική κοινωνικής μηχανικής τόσο για την παραβίαση της M&S όσο και της Co-op. Παρότι το ransomware εγκαταστάθηκε επιτυχώς στο δίκτυο της M&S, η Co-op κατάφερε να αναχαιτίσει την επίθεση έγκαιρα, πριν ενεργοποιηθεί ο κώδικας κρυπτογράφησης.
Οι οδηγίες ασφαλείας του NCSC έρχονται τώρα με την προειδοποίηση ότι τα περιστατικά αυτά θα πρέπει να θεωρηθούν “καμπανάκι κινδύνου” για κάθε μεγάλη επιχείρηση στη χώρα, καθώς θα μπορούσαν να είναι οι επόμενοι στόχοι παρόμοιων επιθέσεων.
Ασαφής ακόμη η εικόνα πίσω από τις επιθέσεις – Συνεχίζονται οι έρευνες
Το NCSC προς το παρόν αποφεύγει να αποδώσει ευθύνες σε συγκεκριμένους δράστες, δηλώνοντας ότι η ταυτότητα των υπευθύνων παραμένει υπό διερεύνηση. Η υπηρεσία συνεχίζει τη συνεργασία με τα θύματα και τις αρχές, ώστε να διαπιστωθεί αν πρόκειται για μια συντονισμένη ενέργεια ή για ασύνδετα περιστατικά.
«Διαθέτουμε κάποιες ενδείξεις, αλλά δεν είμαστε ακόμα σε θέση να επιβεβαιώσουμε εάν οι επιθέσεις αυτές συνδέονται μεταξύ τους ή αν πρόκειται για μεμονωμένα περιστατικά από διαφορετικούς παράγοντες απειλής», ανέφερε εκπρόσωπος της NCSC, προσθέτοντας πως οι σχετικές έρευνες συνεχίζονται από κοινού με τις διωκτικές αρχές.
Δείτε επίσης: Μείωση ransomware επιθέσεων τον Απρίλιο (+ σημαντικότερα περιστατικά)
Παρότι το NCSC κρατά επιφυλάξεις, δημοσίευμα του BleepingComputer αναφέρει ότι οι κυβερνοεπιθέσεις σε M&S και Co-op φέρουν την υπογραφή ομάδων όπως οι Scattered Spider και Lapsus$, που φημίζονται για τη χρήση παρόμοιων τακτικών και δραστηριοποιούνται σε κοινά ψηφιακά περιβάλλοντα όπως το Telegram, το Discord και γνωστά hacking forums.
Οι δύο επιθέσεις φαίνεται να ξεκίνησαν με μεθόδους κοινωνικής μηχανικής: οι εισβολείς προσποιήθηκαν ότι ήταν εργαζόμενοι των εταιρειών και ήρθαν σε επαφή με τα τμήματα τεχνικής υποστήριξης, καταφέρνοντας τελικά να πείσουν τους υπαλλήλους να επαναφέρουν στοιχεία πρόσβασης – χαρίζοντάς τους έτσι είσοδο στα εσωτερικά δίκτυα.
Για τον λόγο αυτό, η NCSC παροτρύνει όλες τις εταιρείες να επανεξετάσουν τα πρωτόκολλα ασφαλείας στα help desks τους. Ειδικά οι διαδικασίες επαναφοράς κωδικών πρόσβασης θα πρέπει να γίνουν πιο αυστηρές, διασφαλίζοντας την ταυτοποίηση των εργαζομένων – κυρίως όσων κατέχουν δικαιώματα αυξημένης πρόσβασης.
Το κύμα κυβερνοεπιθέσεων που επηρεάζει μεγάλες επιχειρήσεις στο Ηνωμένο Βασίλειο – όπως οι Harrods, M&S και Co-op – αναδεικνύει ξεκάθαρα πόσο ευάλωτες είναι ακόμη και οι πιο οργανωμένες εταιρείες όταν πρόκειται για ζητήματα κυβερνοασφάλειας. Οι επιθέσεις αυτές δείχνουν την ανάγκη για συνεχή εκπαίδευση του προσωπικού και ενίσχυση της κουλτούρας ψηφιακής ασφάλειας.
Το γεγονός ότι οι επιθέσεις κατάφεραν να παραλύσουν κρίσιμες λειτουργίες (όπως πληρωμές, online παραγγελίες και VPN) φανερώνει πόσο μεγάλο είναι το ρίσκο όχι μόνο για την τεχνική υποδομή, αλλά και για τη φήμη και εμπιστοσύνη των καταναλωτών.
Το NCSC επισημαίνει ότι ενώ πολλά δεδομένα παραμένουν αδιευκρίνιστα, υπάρχουν επίσης πληροφορίες που δεν δημοσιοποιούνται για λόγους ασφαλείας, καθώς οι σχετικές έρευνες είναι σε εξέλιξη.
Κατευθυντήριες γραμμές του NCSC για την ενίσχυση της ψηφιακής ασφάλειας
Σε απάντηση στις πρόσφατες κυβερνοαπειλές, το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) έδωσε στη δημοσιότητα έναν οδηγό με βασικά μέτρα που πρέπει να λάβουν οι εταιρείες ώστε να μειώσουν τον κίνδυνο ψηφιακής εισβολής και να ενισχύσουν την προστασία των υποδομών τους.
Δείτε επίσης: Ρουμανία εκλογές: Ρώσοι hackers πραγματοποίησαν DDoS επιθέσεις
Οι προτάσεις του οργανισμού συνοψίζονται στα εξής κρίσιμα σημεία:
- Υιοθέτηση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) σε όλα τα συστήματα, χωρίς εξαιρέσεις, ώστε να αυξάνεται η δυσκολία πρόσβασης από μη εξουσιοδοτημένους χρήστες.
- Συνεχής επιτήρηση για ύποπτες δραστηριότητες, όπως μη αναγνωρισμένες συνδέσεις ή παραβιάσεις λογαριασμών, ειδικά εκείνες που εντοπίζονται μέσω του Microsoft Entra ID Protection.
- Τακτικός έλεγχος διαχειριστικών λογαριασμών (Domain, Enterprise και Cloud Admin), με στόχο την επιβεβαίωση ότι χρησιμοποιούνται μόνο από εξουσιοδοτημένο προσωπικό.
- Επανεξέταση των διαδικασιών υποστήριξης σχετικά με την επαναφορά κωδικών πρόσβασης, διασφαλίζοντας την ύπαρξη ισχυρών πρωτοκόλλων ταυτοποίησης πριν δοθεί πρόσβαση.
- Ενίσχυση της παρακολούθησης των συνδέσεων με έμφαση σε ύποπτες πηγές, όπως οικιακά VPN ή μη αναγνωρισμένα endpoints, ώστε να ανιχνεύονται και να απομονώνονται πιθανές απειλές.
Το NCSC υπογραμμίζει πως όλες οι επιχειρήσεις, ανεξαρτήτως μεγέθους ή τομέα, πρέπει να λειτουργούν με τη λογική της «έγκαιρης προετοιμασίας» και να υποθέτουν πως ενδέχεται να βρεθούν στο στόχαστρο κυβερνοεγκληματιών στο άμεσο μέλλον.
Παράλληλα, έμπειροι ερευνητές όπως οι Kevin Beaumont και Will Thomas, οι οποίοι παρακολουθούν στενά την εξέλιξη αυτών των επιθέσεων, έχουν κοινοποιήσει δικές τους πρακτικές οδηγίες για την ταυτοποίηση και την εξουδετέρωση παρόμοιων απειλών.
Η κεντρική σύσταση προς τον επιχειρηματικό κόσμο είναι σαφής: ανεξαρτήτως γεωγραφικής θέσης ή τομέα δραστηριότητας, είναι απαραίτητο να υιοθετηθούν αυτές οι προληπτικές πρακτικές για να ενισχυθεί η ψηφιακή άμυνα απέναντι σε ένα ολοένα πιο σύνθετο περιβάλλον απειλών.
Πηγή: www.bleepingcomputer.com
