קבוצת התקיפה 'דרגון' מאיימת על הסחר הקמעונאי

חוקרי סטארט אפ הסייבר הישראלי סייפוקס (CYFOX) חושפים את שיטות התקיפה והמודיעין סביב קבוצת התקיפה כוח דרגון (DragonForce), קבוצת כופר פעילה המוכרת בזירת הסייבר ההתקפי. המחקר מקבל משנה תוקף לאור הדיווחים המאשרים כי הקבוצה עומדת מאחורי מתקפת הכופר על ענקיות הקמעונאות הבריטיות מארקס&ספנסר, קו-אופ והארודס שהתרחשה בשבועות האחרונים והובילה לדלף נתונים מאסיבי.

מתקפות הסייבר על רשתות הקמעונאות הבריטיות מהוות עדות לאיום הגובר מצד קבוצת התקיפה ומסמנות עליית מדרגה בפעילות הקבוצה, המהווה כיום גורם מרכזי בגל תקיפות כופר מתוחכמות נגד ארגונים ברחבי העולם. במחקר שביצעו חוקרי סייפוקס, נחשפת הקבוצה כגוף מתוחכם המשתמש בשיטות מתקדמות להצפנה, הדלפה ולחץ פסיכולוגי על קורבנות.

על פי פרסום של כלי תקשורת בבריטניה, קבוצת דרגון הייתה מעורבת ישירות או בעקיפין בתקיפות שבוצעו נגד רשתות המסחר. המתקפה על M&S כללה הצפנה של מערכות מידע קריטיות ופרסום הדרגתי של מידע רגיש של עובדים ולקוחות. ב-M&S דווח גם על שיבוש נרחב במערכות ההזמנות וההפצה, דבר שהוביל להפסדים של מיליוני ליש"ט ביום ולביטול המוני של הזמנות לקראת הקיץ. ברשת Co-op התוקפים טענו כי גנבו מידע של כ-20 מיליון חברי מועדון ואילו בהארודס השביתה התקיפה חלק מהשירותים.

המחקר של סייפוקס מציג ניתוח טכני מעמיק של הכלים, השרתים והתשתיות שמפעילה DragonForce כולל איתור תת-דומיינים, כתובות IP משויכות, מסמכים פנימיים ותיעוד של שיחות פנימיות מתוך שרת ה-Command & Control של הקבוצה. על פי סייפוקס מדובר בקבוצת איום רבת-זרועות המשתמשת בטכניקות כמו הצפנת קבצים, איומי דלף, וטקטיקות של הנדסה חברתית כדי למקסם נזק לארגונים.

לדברי חוקרי סייפוקס, התשתית הדיגיטלית שנחשפה כוללת רשימות קורבנות, שיטות תקיפה, וכלי שליטה מרחוק, והיא עשויה לאפשר לגורמים בשוק האבטחה להיערך טוב יותר ולמנוע תקיפות דומות בעתיד.

הקבוצה, שמקורה במלזיה והחלה את דרכה כקבוצת אקטיביזם פוליטי עם זיקה למאבקים פרו-פלסטיניים, עברה בשנים האחרונות לשימוש נרחב במודלים של כופר כפול(Double Extortion). כלומר, הצפנת מערכות הקורבן בשילוב איום בפרסום מידע רגיש שנגנב, במטרה ללחוץ על הקורבן לשלם דמי כופר.

דוח סייפוקס חושף כי קבוצת דרגון משתמשת בגרסה של LockBit 3.0 עם התאמות שמקשות על זיהוי הקוד הזדוני, כולל דחיסה מיוחדת להטעיית תוכנות אבטחה, טפטים מותאמים ותשתיות תקשורת מוצפנות מבוססות Tor ו-TOX, תוך מחיקת לוגים ממערכות ההפעלה והתחמקות מכלי ניטור. התקיפות מבוצעות לרוב על ידי חדירה ראשונית באמצעות דיוג ממוקד (spear phishing), פריצה ל-VPN או גניבת אישורי גישה.

בנוסף בנתה קבוצת דרגון תשתית מקוונת ב-Dark Web הכוללת לא רק קבצים גנובים, אלא גם תמלול של שיחות עם קורבנות וטיימרים להצגת דד-ליין לתשלום כופר - אלמנט המעלה את הלחץ הפסיכולוגי והפוטנציאל לנזק מוניטין מיידי.

חוקרי סייפוקס מדגישים כי דרגון פועלת כיום בשיתוף עם קבוצות נוספות ומספקת להן תשתיות "כופרה כשירות". שיתוף פעולה זה מגביר את ההיקף והתחכום של המתקפות, כפי שנראה בגל התקיפות האחרון בבריטניה.

המעבר של דרגון ממניעים אידיאולוגיים לגרעין תקיפה כלכלי ומאורגן, מלווה בהתמקדות בסקטורים קריטיים כמו אנרגיה, בריאות, טכנולוגיה וקמעונאות - כולל מטרות במערב אירופה, הודו וישראל. לדברי ניר יהושע, מנהל מחקר בסייפוקס: "לא מדובר עוד באקטיביסטים עם אג'נדה פוליטית בלבד. דרגון מתפקדת כיום כקבוצת תקיפה בעלת אופרציה שלמה, עם תשתיות כופרה כשירות (RaaS) ונוכחות גלובלית ברורה."

"מטרתנו בפרסום המידע הייתה לחשוף את פעולתה הפנימית של אחת מקבוצות הכופרה הפעילות ביותר כיום", אמר יוסי טל, מנכ"ל סייפוקס. "השילוב בין ניתוח טכני למודיעין בזמן אמת מאפשר לנו וללקוחותינו להיות צעד אחד לפני התוקפים. האירוע מספק דוגמה חיה להיקף הנזק שעלול להיגרם כאשר תשתיות הגנת הסייבר אינן מעודכנות אל מול האיומים המשתנים."

רשות הסייבר הבריטית, ה-NCSC, פרסמה התרעה בעקבות האירועים האחרונים, וקראה לארגונים לבדוק עדכוני אבטחה קריטיים, לשפר בקרות זהות והרשאות גישה ולבצע סימולציות תגובה למתקפות כופר.