Киберагентство правительства Великобритании заявило, что пока неизвестно, связаны ли между собой недавние кибератаки на британских ритейлеров.
В ответ на кибератаки на Marks & Spencer, Co-op и Harrods за последние несколько недель Национальное агентство кибербезопасности (NCSC) заявило, что эти события стали «тревожным звонком» для всех организаций, поскольку оно выпускает рекомендации, касающиеся именно сектора розничной торговли, а также меры для всех организаций по снижению угрозы атаки.
В сообщениях прессы высказывались предположения, что за кибератаками на оба ритейлера стоит группа, известная как Scattered Spider, использующая вирус-вымогатель DragonForce. Также высказывались предположения, что службы ИТ-поддержки Marks & Spencer подверглись атаке с использованием методов социальной инженерии с целью сброса паролей и получения доступа к более широким системам.
Marks & Spencer был вынужден приостановить онлайн-заказы 25 апреля и до сих пор не возобновил онлайн-продажи и продажи через приложение, хотя магазины остаются открытыми. Harrods ограничил доступ к своему веб-сайту после обнаружения несанкционированного доступа к своим системам, в то время как Co-op признал, что хакеры могли получить доступ к данным клиентов.
Джонатан Эллисон, национальный директор по устойчивости, и Олли Уайтхаус, главный технический директор NCSC, говорят: «Хотя у нас есть понимание, мы пока не можем сказать, связаны ли эти атаки, является ли это согласованной кампанией одного субъекта или между ними вообще нет никакой связи. Мы работаем с жертвами и коллегами из правоохранительных органов, чтобы выяснить это».
Они рекомендуют организациям иметь возможность обнаруживать субъектов угроз, использующих доступ сотрудников, а также в сетевых или облачных сервисах, и в то же время иметь возможность сдерживать злоумышленников, чтобы предотвратить более масштабный ущерб, а также иметь возможность реагировать и восстанавливаться, когда атака преодолевает защиту кибербезопасности.
Все организации должны обеспечить комплексное внедрение двухэтапной проверки и усилить мониторинг несанкционированного использования учетных записей. Они советуют фирмам быть бдительными в отношении «рискованных входов», когда попытки входа были отмечены из-за подозрительной активности или необычного поведения. Кроме того, организации должны:
- Обратить особое внимание на учетные записи администратора домена, администратора предприятия и администратора облака и проверьте, является ли доступ законным;
- Изучить процессы сброса паролей службы поддержки, включая то, как служба поддержки проверяет подлинность учетных данных сотрудников перед сбросом паролей;
- Обеспечить, чтобы центры безопасности могли идентифицировать входы из нетипичных источников, таких как службы VPN в жилых районах; а также
- Обеспечить, чтобы организация имела возможность быстро использовать методы, тактики и процедуры, полученные на основе разведданных об угрозах, и иметь возможность соответствующим образом реагировать.
«Преступная деятельность в Интернете, включая, помимо прочего, программы-вымогатели и вымогательство данных, процветает. Подобные атаки становятся все более распространенными. И все организации, независимо от их размера, должны быть к этому готовы», — пишут Эллисон и Уайтхаус в совместном сообщении в блоге.
Подготовлено порталом Allinsurance.kz