Szinte naponta cseng a telefonom üzenetekkel mindenféle hackerektől.

A jók, a rosszak és a nem túl biztosak.

Több mint egy évtizede tudósítok a kiberbiztonságról, így tudom, hogy sokan szeretnek beszélni a feltöréseikről, felfedezéseikről és szökéseikről.

Ezeknek a beszélgetéseknek körülbelül 99%-a szilárdan a csevegési naplómban marad, és nem vezetnek hírekhez. De egy legutóbbi pinget lehetetlen volt figyelmen kívül hagyni.

“Hé, itt Joe Tidy a BBC-től, aki a Co-op hírekről tudósít, igaz?” – üzentek nekem a hackerek a Telegramban.

“Van néhány hírünk a számodra” – cukkoltak.

Amikor óvatosan megkérdeztem, hogy mi ez, a Telegram-fiók mögött álló emberek – akiknek sem nevük, sem profilképük nem volt – elárulták, hogy állításuk szerint mit tettek az M&S és a Co-op ellen a tömeges fennakadásokat okozó kibertámadások során.

A következő öt órában oda-vissza küldött üzeneteken keresztül világossá vált számomra, hogy ezek a látszólagos hackerek folyékonyan beszélnek angolul, és bár azt állították, hogy hírvivők, nyilvánvaló volt, hogy szoros kapcsolatban állnak – ha nem is szorosan érintettek – az M&S és a Co-op hackelésében.

Olyan bizonyítékokat osztottak meg, amelyek bizonyították, hogy hatalmas mennyiségű privát ügyfél- és munkavállalói információt loptak el.

Megnéztem egy mintát az általuk átadott adatokból – majd biztonságosan töröltem őket.

Egyértelműen frusztráltak voltak, hogy a Co-op nem engedett a váltságdíjköveteléseiknek, de nem mondták meg, hogy mennyi pénzt követelnek Bitcoinban a kiskereskedőtől cserébe azért az ígéretért, hogy nem adják el vagy adják tovább az ellopott adatokat.

A BBC szerkesztéspolitikai csapatával folytatott beszélgetés után úgy döntöttünk, hogy közérdekű, hogy beszámoljunk arról, hogy bizonyítékot szolgáltattak nekünk, amely bizonyítja, hogy ők a felelősek a hackelésért.

Gyorsan felvettem a kapcsolatot a Co-op sajtócsapatával, hogy kommentáljam a történteket, és perceken belül a cég, amely kezdetben lekicsinyelte a hackert, elismerte a dolgozók, az ügyfelek és a tőzsde előtt a jelentős adatszivárgást.

Nem sokkal később a hackerek egy hosszú, dühös és sértő levelet küldtek nekem a Co-op hackelésükre és az azt követő zsarolásra adott válaszáról, amelyből kiderült, hogy a kiskereskedő épphogy elkerülte a súlyosabb hackelést azzal, hogy a számítógépük utáni kaotikus percekben közbelépett rendszerébe behatoltak. A levél és a hackerekkel folytatott beszélgetés megerősítette azt, amit a kiberbiztonsági világ szakértői már a kiskereskedők elleni támadási hullám kezdete óta mondtak – a hackerek a DragonForce nevű kiberbűnözési szolgáltatástól érkeztek.

Kik azok a DragonForce, kérdezheti? A hackerekkel folytatott beszélgetéseink és szélesebb körű ismereteink alapján van néhány nyomunk.

A DragonForce kiberbűnözőknek kínál különböző szolgáltatásokat a darknetes oldalukon, cserébe a beszedett váltságdíjak 20%-áért. Bárki regisztrálhat és használhatja rosszindulatú szoftverüket az áldozat adatainak megzavarására, vagy használhatja darknetes weboldalukat nyilvános zsarolásra.

Ez a szervezett kiberbűnözésben mára normává vált; ezt nevezik ransomware-as-a-service-nek.

A leghírhedtebb az utóbbi időkben a LockBit nevű szolgáltatás volt, de ez már szinte teljesen megszűnt, részben azért, mert a rendőrség tavaly feltörte.

Az ilyen csoportok felszámolását követően hatalmi vákuum keletkezett. A földalatti világ dominanciájáért folyó küzdelem eredményeként néhány rivális csoport újítja meg kínálatát.

A DragonForce nemrégiben átnevezte magát kartellnek, amely még több lehetőséget kínál a hackereknek, például 24/7-es ügyfélszolgálatot.

A csoport legalább 2024 eleje óta hirdette szélesebb körű kínálatát, és 2023 óta aktívan célba vette a szervezeteket olyan kiberszakértők szerint, mint Hannah Baumgaertner, a Silobeaker kiberkockázat-védelmi vállalat kutatási vezetője.

“A DragonForce legújabb modellje olyan funkciókat tartalmaz, mint az adminisztrációs és ügyfélpanelek, a titkosítási és zsarolóvírus-tárgyalási eszközök és még sok más” – mondta Baumgaertner asszony.

A hatalmi harc éles illusztrációjaként a DragonForce darknetes weboldalát nemrégiben feltörte és eltorzította a RansomHub nevű rivális banda, mielőtt egy héttel ezelőtt újra megjelent volna.

“A zsarolóvírus ökoszisztéma kulisszái mögött úgy tűnik, hogy van némi tülekedés – ez lehet az elsődleges “vezető” pozícióért, vagy csak azért, hogy megzavarjanak más csoportokat, hogy nagyobb részesedést szerezzenek az áldozatokból” – mondta Aiden Sinnott, a Secureworks kiberbiztonsági vállalat vezető fenyegetéskutatója.

A DragonForce termékeny modus operandija az, hogy az áldozatairól posztol, ahogy azt 2024 decembere óta 168 alkalommal tette – egy londoni könyvelőcég, egy illinois-i acélgyártó, egy egyiptomi befektetési cég mind benne van. A DragonForce azonban eddig hallgatott a kiskereskedelmi támadásokról.

Általában a támadásokról való rádiócsend azt jelzi, hogy az áldozati szervezet fizetett a hackereknek a hallgatásért. Mivel sem a DragonForce, sem a Co-op, sem az M&S nem nyilatkozott erről, nem tudjuk, mi történhet a színfalak mögött.

Annak megállapítása, hogy kik állnak a DragonForce mögött, nehézkes, és nem tudni, hol tartózkodnak. Amikor megkérdeztem erről a Telegram-fiókjukat, nem kaptam választ. Bár a hackerek nem mondták el nekem kifejezetten, hogy ők állnak az M&S és a Harrods közelmúltbeli feltörései mögött, megerősítették a Bloomberg egyik jelentését, amely ezt kibökte.

Természetesen bűnözők, és lehet, hogy hazudnak.

Egyes kutatók szerint a DragonForce székhelye Malajziában van, míg mások szerint Oroszországban, ahol sok ilyen csoportot feltételeznek. Azt tudjuk, hogy a DragonForce-nak nincsenek konkrét céljai vagy napirendje a pénzszerzésen kívül.

És ha a DragonForce csak a szolgáltatás, amelyet más bűnözők használnak – ki mozgatja a szálakat, és ki választja a brit kiskereskedők megtámadását?

Az M&S hack korai szakaszában ismeretlen források azt mondták a Bleeping Computer kiberhírportálnak, hogy a bizonyítékok egy Scattered Spider nevű laza kiberbűnözői kollektívára utalnak – de ezt a rendőrség még nem erősítette meg.

A Scattered Spider nem igazán egy csoport a szó szokásos értelmében. Inkább egy közösség, amely olyan oldalakon szerveződik, mint a Discord, a Telegram és a fórumok – innen a “szétszórt” elnevezés, amelyet a CrowdStrike kiberbiztonsági kutatói adtak nekik.

Közismert, hogy angolul beszélnek, valószínűleg az Egyesült Királyságban és az Egyesült Államokban élnek, és fiatalok – egyes esetekben tinédzserek. Ezt a kutatók és a korábbi letartóztatások alapján tudjuk. Novemberben az USA öt húszas és tizenéves férfi és fiú ellen emeltek vádat a Scattered Spider feltételezett tevékenysége miatt. Egyikük a 22 éves skót Tyler Buchanan, aki nem tett vallomást, a többiek pedig az Egyesült Államokban élnek.

Úgy tűnik azonban, hogy a rendőrségi fellépések kevéssé befolyásolták a hackerek elszántságát. Csütörtökön a Google kiberbiztonsági részlege figyelmeztetést adott ki, hogy most már amerikai kiskereskedők ellen is Scattered Spider-szerű támadásokat észlelnek.

Ami a hackereket illeti, akikkel a Telegramban beszéltem, nem voltak hajlandóak válaszolni arra, hogy Scattered Spiderek voltak-e vagy sem. “Nem válaszolunk erre a kérdésre” – ez minden, amit mondtak.

Talán a hackerek éretlenségére és figyelemfelkeltő természetére utalva, ketten közülük azt mondták, hogy “Raymond Reddington” és “Dembe Zuma” néven szeretnének ismertté válni, a The Blacklist című amerikai krimi szereplői után, amelyben egy körözött bűnöző segít a rendőrségnek elkapni a feketelistán szereplő többi bűnözőt.

Egy nekem küldött üzenetben így dicsekedtek: “Az Egyesült Királyság kiskereskedőit felvisszük a Fekete listára”.