英国のスーパーマーケット、コープが先月受けたサイバー攻撃は、犯行声明を出した攻撃者によると、もっと深刻な事態になっていた可能性があったという。コープはランサムウェアに感染する前にコンピューターサービスをオフラインにしていたため、システムを暗号化して従業員を締め出す機会がなかったのだ。
数日前に英国の小売業者M&Sへのサイバー攻撃にも関与したと主張するハッカーたちは、BBCに宛てた書簡で、Co-opのITチームが「自ら電源プラグを抜いてしまい、売上が急落し、物流が悪化し、株主価値が損なわれた」と怒りを込めて説明した。これは、同社のネットワークが「ランサムウェアの被害に遭ったことは一度もなかった」ことを意味する。
「サイバー脅威の発生後、コープがITシステムの一部を積極的にシャットダウンしながらも、重要な業務を継続するという決断は、効果的な封じ込め戦略の好例です」と、データセンターセキュリティ企業Illumioのインダストリーソリューション責任者、ラグ・ナンダクマラ氏はTechRepublicへのメールで述べた。「攻撃後に業務を完全に停止せざるを得ない多くの組織とは異なり、コープは最も重要なサービスを守り、事業継続性を維持したようです。」
参照:英国政府が新法案でサイバーセキュリティ規則を強化する3つの方法
しかしながら、BBCによると、ハッカーたちは発見される前に「(Co-opの)ネットワークにしばらく潜伏していた」と主張している。この間、彼らは2,000万人の顧客の名前、連絡先、生年月日などのデータを盗んだとされているが、ランサムウェアを実行する機会はなかった。Co-opは、パスワード、銀行口座やクレジットカードの情報、取引情報、購入情報などがアクセスされたとは考えておらず、影響を受けた顧客数も確認していない。
同社は先月末にサイバー攻撃の試みを検知し、4月30日にその事実を公表し、自社システムの1つからデータが盗まれたことを明らかにした。その後、同社はさらに多くのシステムへのアクセスを制限し、「問題を封じ込め、組織全体を保護」することに役立ったと、サイバー攻撃に関するFAQで述べている。しかし、この措置はCo-opのサプライチェーンに影響を与え、多くの店舗で棚が空になったほか、カード決済システムが停止し、コールセンター業務や注文追跡を含む一部の顧客サポートサービスに支障をきたした。
M&Sはサイバー攻撃からの回復に数ヶ月かかると報じられているが、Co-opは数週間で回復した。
Co-opの声明によると、「今週末から(同社の)食品店舗とオンラインストアの在庫状況が改善される」と述べており、すべての店舗でカード決済が利用可能になったことも確認されています。復旧作業には2週間以上かかりましたが、イースターの週末に始まった業務中断からまだ完全には回復していないM&Sに比べると、Co-opはやや好調です。
M&Sはこれを「サイバーインシデント」としか呼んでいないが、BleepingComputerの情報筋によると、問題の根本は2月に始まったランサムウェア攻撃であり、顧客の個人情報が盗まれたという。オンライン注文は依然として停止されており、一部の店舗では在庫や非接触決済に依然として問題を抱えている。これは、ランサムウェアの成功が復旧期間を大幅に延長することを示すものだ。
ハッカーはDragonForceランサムウェアを使用しようとした
Co-opとM&Sへのハッキングの両方の背後にいると主張するハッカーたちは、BBCに対し、ランサムウェア・アズ・ア・サービス(RaaS)グループ「DragonForce」のメンバーであり、攻撃にはDragonForceの暗号化ツールを使用したと述べた。彼らの正体は最終的に不明のままだが、BleepingComputerの情報筋によると、彼らはScattered Spiderの脅威アクターである可能性が高いとのことだ。
Scattered Spider自体はギャングではありませんが、メンバーはソーシャルエンジニアリング、フィッシング攻撃、SIMスワップ、多要素認証攻撃、その他の特定の戦術で知られています。彼らはRansomHubやBlackCatといった著名なランサムウェアギャングと提携しています。メンバーの中には、Discord、Telegram、ハッカーフォーラムなどで攻撃を計画する10代の若者もいると考えられています。
BBCによると、DragonForceの攻撃者は、Co-opとM&Sの攻撃直後にハロッズへのハッキングを試みたことでも関与していると主張しているが、ロンドンのデパートは最小限の混乱にとどまった。12月には、英国最大のスーパーマーケットチェーンであるセインズベリーとモリソンズが、サプライチェーン・ソフトウェア・プロバイダーへのランサムウェア攻撃を受けた。
