多家英國零售業者傳出遭到勒索軟體DragonForce攻擊

資安業者Secureworks於4月下旬提出警告，勒索軟體駭客組織DragonForce改變經營策略，從原本提供作案工具的租用服務模式（Ransomware-as-a-Service），在3月19日之後開始改以勒索軟體「橫向聯盟（cartel）」名義找尋合作對象。最近兩週，傳出有駭客團體連續對英國零售業者下手，使用的犯案工具就是勒索軟體DragonForce。

根據英國廣播公司（BBC）、衛報（The Guardian）、 ITV News、資安新聞網站Bleeping Computer等多家媒體的報導，英國瑪莎百貨（Marks & Spencer，M&S）、連鎖超市Co-op、精品百貨公司哈洛德（Harrods）接連傳出遭到網路攻擊，可能是被稱為Scattered Spider、0ktapus、Octo Tempest、UNC3944的駭客組織所為。

5月1日英國國家安全網路中心（NCSC）發布新聞稿證實，他們的確收到相關網路攻擊事故的通報，並與受害的零售業者進行合作，因應相關資安事故。NCSC也在4日二度發布公告，呼籲企業應參考他們提出的最佳實務指南，防範相關的攻擊行動。

而對於攻擊者的身分，NCSC表示尚在調查，無法確定所有的攻擊是否相關，或是由相同駭客犯案。

最早傳出遭到攻擊的是瑪莎百貨，該公司於4月22日向英國倫敦交易所通報遭遇網路攻擊事故，並表示他們在察覺此事後對商店進行臨時、局部的調整，來保護客戶。M&S強調，商店、網站、App正常維持運作。

該公司也在23日於網站發布公告，表示他們暫停提供非接觸式付款服務，以及接受網路商店的Click & Collect訂單；25日範圍進一步擴大：他們停止整個網站及App下單的業務。

究竟攻擊者的身分為何？根據Bleeping Computer的報導，有知情人士向他們透露，攻擊者是Scattered Spider，駭客很可能在今年2月就成功入侵，並竊得NTDS.dit檔案，而能對網域環境上下其手，到了4月24日，這些駭客在VMware ESXi主機部署勒索軟體DragonForce，加密虛擬機器。

無獨有偶，4月30日Co-op也傳出網路環境遭到入侵，發言人透露，有人試圖未經授權存取部分系統，該公司採取積極的因應措施來確保系統安全，而對於部分後臺辦公室與客服中心造成影響。但隔日新聞媒體ITV News取得Co-op內部信件，指出員工暫時無法使用VPN存取內部系統，並要求員工在使用Teams及接收郵件必須提高警覺。

5月2日，Co-op向Bleeping Computer透露新的調查結果，表示他們確認駭客從其中1個系統挖掘資料，內容包含該公司現任及前任員工的資訊，例如：姓名、聯絡方式，但不含他們的密碼及金融資料。

Bleeping Computer取得消息人士的說法，得知攻擊手法與瑪莎百貨的事故有所雷同：駭客在4月22日發動社交工程攻擊，得逞後重設員工的密碼，並利用其帳號破壞Co-op的網路環境，試圖取得NTDS.dit檔案。

對於攻擊者的身分，BBC指出就是勒索軟體DragonForce的附屬組織，他們與駭客進行對話，對方聲稱握有2千萬參與會員獎勵計畫的客戶資料。

駭客聲稱透過Teams向Co-op資安團隊進行勒索，並提供BBC螢幕截圖證明此事。此外，他們也宣稱攻擊了哈洛德百貨。

值得留意的是，5月1日哈洛德向媒體證實遭遇網路攻擊，但駭客並未得逞，該公司所有店面仍照常營業，為了進行防範，他們還是限制網站的存取，不過，客戶仍可在harrods.com購物。

目前這些資安事故已經傳出造成嚴重混亂，衛報指出，瑪莎百貨因暫停將已經包裝好的食物交給雜貨零售業者歐卡多（Ocado），導致一度有大量食物被迫丟棄。再者，雖然瑪莎百貨執行長Stuart Machin呼籲民眾改到實體門市消費，降低事故帶來的衝擊，但貨架上已出現部分商品被清空的情況，銷售的服飾只剩下零星尺碼，而且，店員無法透過IT系統替客戶確認商品庫存。

我們也實際存取Co-op網站確認是否有相關的公告資訊，結果發現，該公司網站出現拒絕存取的錯誤訊息。