Flere store britiske detailkæder er i den seneste tid blevet ramt af sofistikerede cyberangreb, hvor hackere udgiver sig for at være fra interne IT-supportteams. Det britiske cybersikkerhedscenter, NCSC, advarer nu virksomheder mod denne nye og farlige taktik.
Forfalskede supportopkald
Angrebene har ramt kendte virksomheder som Marks & Spencer, Co-op og Harrods inden for de sidste to uger. En anonym hackergruppe har fortalt BBC, at flere angreb er på vej.
NCSC (National Cyber Security Centre), der er den britiske regerings cybersikkerhedsorgan, har derfor udsendt en advarsel til alle organisationer om at gennemgå deres procedurer for nulstilling af adgangskoder, især i forhold til IT-supportafdelinger.
“Ved at følge bedste praksis kan virksomheder mindske risikoen for at blive ofre for denne type angreb,” udtaler NCSC.
Social engineering bag angrebene
NCSC fremhæver, at angrebene højst sandsynligt benytter sig af social engineering – en metode hvor gerningsmænd manipulerer medarbejdere til at videregive adgangsoplysninger. Det kan ske gennem troværdige mails, opkald eller sms’er, hvor hackerne udgiver sig for at være fra virksomhedens egen IT-afdeling.
I nogle tilfælde har de endda ringet til IT-support og udgivet sig for at være medarbejdere, der er blevet låst ude af deres konti.
IT-eksperter: Flere lag af sikkerhed nødvendige
Cybersikkerhedsekspert Lisa Forte fra firmaet Red Goat anbefaler at indføre kodeord, som medarbejdere skal bruge, når de kontakter IT-support. Et eksempel kunne være et ord som “BluePenguin”, der kan bruges til at bekræfte, at opkaldet er ægte.
“Det handler som altid om at have flere lag af beskyttelse, så det ikke er nemt at omgå systemet,” siger Forte.
Mistanke om Scattered Spider
NCSC peger på, at metoderne minder om dem, som bruges af hackergruppen Scattered Spider – en løst organiseret gruppe af unge engelsktalende hackere fra Storbritannien og USA. Gruppen er kendt for at koordinere angreb via Discord og Telegram.
Selvom NCSC ikke officielt navngiver dem som bagmænd, bekræfter de, at Scattered Spider tidligere har brugt lignende metoder til at presse virksomheder med krav om løsepenge.
Overvågning af mistænkelig aktivitet
Et andet råd fra NCSC er at holde øje med “Risky Logins” – altså loginforsøg på mærkelige tidspunkter eller fra usædvanlige geografiske placeringer.
Selvom angreb kan komme fra hele verden, har netop unge hackere fra UK og USA vist sig særligt dygtige til at bruge social engineering-teknikker.
Tidligere angreb og anholdelser
Scattered Spider har tidligere stået bag store angreb, blandt andet mod MGM Grand Casinos og Caesar’s Palace i Las Vegas. Seks personer mistænkt for at være tilknyttet gruppen er blevet arresteret i USA og Storbritannien det seneste år.
I juli 2024 blev en 17-årig fra Walsall anholdt som led i en FBI-efterforskning. En person fra samme område blev senere anholdt for et angreb på Transport for London.
DragonForce tager ansvar – men afviser forbindelser
Den nuværende bølge af angreb ser ud til at være gennemført af en gruppe, der kalder sig DragonForce – et navn for en kriminel cyberplatform til afpresning og softwareangreb.
Gruppen har indrømmet over for BBC, at de har stjålet store mængder data fra Co-op, men nægter at have nogen forbindelse til Scattered Spider.
DragonForce ønskede ikke at kommentere angrebet på M&S, men det menes, at de har brugt ransomware til at låse virksomhedens IT-systemer.
NCSC afslutter med at sige, at de endnu ikke kan bekræfte, om angrebene er forbundet:
“Vi arbejder tæt sammen med ofrene og myndighederne for at få det afklaret,” lyder det fra centret.
Kilde: BBC
