Resumen del Ciberataque a la Cooperativa
El ciberataque sufrido por la cadena minorista británica, Co-op, ha resultado ser mucho más grave de lo que se había informado originalmente. La compañía ha confirmado que los hackers accedieron y robaron datos de un número significativo de clientes actuales y pasados. Según declaraciones de Co-op a BleepingComputer, los atacantes lograron acceder y extraer datos de uno de sus sistemas, los cuales incluían información personal de los miembros, como nombres y datos de contacto. Sin embargo, no se vieron comprometidos datos sensibles como contraseñas, información bancaria o detalles sobre transacciones.
Detalles del Ataque
El 22 de abril, Co-op enfrentó un intento de intrusión en su red. Aunque inicialmente disminuyó la gravedad del ataque al afirmar que cerró partes de sus sistemas, se reveló que los hackers emplearon técnicas asociadas con la operación "Spider" o "Octo Tempest". Utilizaron métodos de ingeniería social para hacer un restablecimiento de contraseña de un empleado, lo que les permitió acceder a la red.
Una vez dentro, los atacantes robaron un archivo crucial de Windows, Ntds.dit, que contiene hashes de contraseñas de cuentas de Windows. A raíz de esto, Co-op está trabajando en la reconstrucción de sus controladores de dominio y la mejora de su seguridad con la ayuda de Microsoft Dart y KPMG, que está brindando soporte a través de AWS.
Involucramiento del Ransomware DragonForce
Recientemente, el BBC informó que el grupo de ransomware DragonForce está detrás del ataque a Co-op. Estos mismos hackers habían atacado a Marks y Spencer previamente. Los miembros de DragonForce confirmaron su responsabilidad y afirmaron tener datos de 20 millones de personas que se registraron en el programa de recompensas de la compañía.
Los atacantes se comunicaron con funcionarios de seguridad de Co-op empleando Microsoft Teams y compartieron pruebas de los datos robados. Después del ataque, Co-op alertó a sus empleados sobre la posibilidad de que los hackers aún tuvieran acceso a ciertas plataformas.
Operaciones de DragonForce
DragonForce funciona como un servicio de ransomware, permitiendo a otros ciberdelincuentes actuar como afiliados, usando sus herramientas y obteniendo una parte de los rescates pagados. En sus ataques, los afiliados violan redes, roban datos y luego implantan malware para cifrar los archivos de los sistemas de las víctimas, demandando pagos de rescate para liberar los datos.
Este grupo se está estableciendo como uno de los más prominentes en el ámbito del ransomware. Su metodología incluye el uso de tácticas como ingeniería social, intercambio de SIM, y ataques a la autenticación multifactor (MFA) para infiltrarse en redes antes de llevar a cabo los robos de datos.
Comunidad de Ciberdelincuentes y Técnicas de Ataque
El grupo conocido como "Scatted Spider" no es una entidad singular, sino una comunidad con motivaciones financieras dispersas que operan en diversos canales como Telegram y Discord. Aunque algunos hackers de la comunidad han sido arrestados, imitadores han empezado a utilizar las mismas técnicas, aumentando así la complejidad de la respuesta por parte de las fuerzas del orden.
Investigadores como Will Thomas han elaborado guías sobre cómo defenderse de ataques como los de "Spider", analizando tácticas que representan el 93% de los incidentes reportados en el reciente informe rojo de MITER ATT&CK.
Conclusiones
El ciberataque a Co-op destaca la creciente sofisticación y audacia de los cibercriminales. Las medidas de seguridad que una vez fueron suficientes pueden no bastar para proteger a las organizaciones. La comprensión de las tácticas utilizados por grupos como DragonForce es crucial para las empresas mientras intentan mejorar su postura de seguridad contra las amenazas emergentes en el paisaje cibernético.