Szinte naponta érkeznek üzenetek a telefonomra különféle hackerektől, akik a jó, a rossz és a nem teljesen megbízható kategóriákba sorolhatók. Több mint egy évtizede foglalkozom kiberbiztonsággal, ezért tudom, hogy sokan szeretik megosztani a hackeléseikről, felfedezéseikről és kalandjaikról szóló élményeiket. Ezeknek a beszélgetéseknek körülbelül 99%-a a chatnaplóimba zárva marad, és nem vezetnek hírekhez. Azonban egy nemrégiben érkezett üzenet figyelmen kívül hagyhatatlan volt. „Helló. Itt Joe Tidy a BBC-től, a Co-op híreivel kapcsolatban kereslek, igaz?” – írta a hacker Telegramon. „Van néhány hírünk számodra” – tette hozzá sejtelmesen. Amikor óvatosan megkérdeztem, miről van szó, a névtelen profilú felhasználók elmondták, hogy információkat tudnak megosztani arról, amit az M&S és a Co-op hackelése során tettek, ami tömeges zűrzavart okozott. Az öt órás üzenetváltás során egyértelművé vált számomra, hogy ezek a hackerek folyékonyan beszélnek angolul, és bár azt állították, hogy csak közvetítők, nyilvánvaló volt, hogy szorosan kapcsolódnak, vagy akár közvetlenül részt vettek az M&S és a Co-op hackelésében. Bizonyítékokat osztottak meg, amelyek igazolták, hogy hatalmas mennyiségű ügyfél- és alkalmazottadatot loptak el. Ellenőriztem egy mintát az általuk megadott adatokból, majd biztonságosan töröltem azt. Láthatták, hogy a Co-op nem engedett a váltságdíj követeléseiknek, de nem árulták el, mennyi Bitcoinra lenne szükségük a kereskedőtől, hogy ne adják el vagy ne osszák meg az ellopott adatokat.
A BBC Szerkesztőségi Irányelvek csapatával folytatott beszélgetés után úgy döntöttünk, hogy közérdekű, ha jelentjük, hogy bizonyítékokat kaptunk, amelyek igazolják, hogy ők felelősek a hackelésért. Gyorsan felvettem a kapcsolatot a Co-op sajtócsapatával, és néhány percen belül a cég, amely kezdetben bagatellizálta a hackelést, elismerte az alkalmazottaknak, ügyfeleknek és a tőzsdének a jelentős adatvédelmi incidenst. Később a hackerek egy hosszú, dühös és sértő levelet küldtek nekem a Co-op reakciójáról a hackelésükre és az azt követő zsarolásra, amelyből kiderült, hogy a kereskedő az utolsó pillanatban elkerülte a súlyosabb hackelést, miután beavatkoztak a zűrzavaros percekben, amikor a számítógépes rendszereiket feltörték. A levél és a hackerekkel folytatott beszélgetés megerősítette azt, amit a kiberbiztonsági szakértők már régóta mondanak – a hackerek egy kiberbűnöző szolgáltatást, a DragonForce-t képviselik.
De ki is a DragonForce? A hackerekkel folytatott beszélgetéseink és a szélesebb körű ismeretek alapján van néhány sejtésünk. A DragonForce különböző szolgáltatásokat kínál a kiberbűnözői partnereknek a darknet oldalán, cserébe a begyűjtött váltságdíjak 20%-ának felvételéért. Bárki regisztrálhat, és használhatja a rosszindulatú szoftvereiket, hogy megzavarja egy áldozat adatait, vagy kihasználhatja a darknet oldalukat nyilvános zsarolásra. Ez már a szervezett kiberbűnözés normájává vált, és úgynevezett „ransomware-as-a-service” szolgáltatásként ismert. Az utóbbi időszak legismertebb szolgáltatása a LockBit volt, de ez már szinte megszűnt, mivel a rendőrség tavaly lebuktatta.
A DragonForce nemrég új arculatot öltött, mint egy kartell, amely még több lehetőséget kínál a hackereknek, például 24/7 ügyféltámogatást. A csoport legalább 2024 eleje óta hirdeti szélesebb kínálatát, és 2023 óta aktívan célba veszi a szervezeteket, ahogy azt a Silobreaker kiberkockázati védelmi cég kutatási vezetője, Hannah Baumgaertner is megerősítette. „A DragonForce legújabb modellje olyan funkciókat tartalmaz, mint az adminisztrációs és ügyfélpanelek, titkosítás, valamint a váltságdíjak tárgyalására szolgáló eszközök” – mondta Baumgaertner.
A hatalmi harcok éles példájaként a DragonForce darknet weboldalát nemrégiben egy rivális banda, a RansomHub feltörte és megrongálta, mielőtt körülbelül egy héttel ezelőtt újra megjelent. A ransomware ökoszisztéma hátterében látható, hogy valamilyen pozícióért folynak a harcok, ami lehet akár a „vezetői” helyért való küzdelem, vagy más csoportok zavarása annak érdekében, hogy nagyobb részesedést szerezzenek az áldozatokból.
A DragonForce gyakori eljárása, hogy posztol a áldozatairól, ahogy azt 2024 decembere óta 168 alkalommal tette, beleértve egy londoni könyvelőcéget, egy illinoisi acélgyárat és egy egyiptomi befektetési céget is. Mindeddig azonban a DragonForce hallgatott a kiskereskedelmi támadásokról. A támadásokra vonatkozó csend általában azt jelenti, hogy az áldozat szervezet kifizette a hackereket, hogy hallgassanak. Mivel sem a DragonForce, sem a Co-op, sem az M&S nem kommentálta ezt a kérdést, nem tudjuk, mi történik a háttérben.
A DragonForce mögötti személyek azonosítása nehéz, és nem ismert, hol találhatók. Amikor megkérdeztem a Telegram fiókjuktól erről, nem kaptam választ. Bár a hackerek nem mondták el kifejezetten, hogy ők állnak a legutóbbi M&S és Harrods hackelések mögött, megerősítették egy Bloomberg-jelentést, amely ezt kifejtette. Természetesen bűnözők, így hazudhatnak. Egyes kutatók szerint a DragonForce Malajziában található, míg mások Oroszországra tippelnek, ahol sok ilyen csoport működik.
A DragonForce-nak nincs konkrét célja vagy programja, csak a pénzszerzés. Ha a DragonForce csak egy szolgáltatás más bűnözők számára – ki irányítja a szálakat és dönti el, hogy melyik brit kiskereskedőt támadják meg? Az M&S hackelésének korai szakaszában ismeretlen források a Bleeping Computer kiberhíroldalon azt állították, hogy bizonyítékok utalnak egy laza kiberbűnöző kollektívára, amelyet Scattered Spider néven ismernek – de ezt a rendőrség még nem erősítette meg. A Scattered Spider nem igazán csoport a szó normális értelmében. Inkább egy közösség, amely olyan platformokon szerveződik, mint a Discord, Telegram és fórumok – innen ered a „szétszórt” kifejezés, amelyet a CrowdStrike kiberbiztonsági kutatói adtak nekik. Ismertek arról, hogy angolul beszélnek, valószínűleg az Egyesült Királyságban és az Egy
