BBC -reportern att prata med hackarna

Joe Tidycyber korrespondentbbcjoe Tidy interagerade med hackare som påstod sig ha gjort M&S ​​och Co-op Hackal mest dagligen, mina telefonpingar med meddelanden från hackare av alla ränder. Det goda, det dåliga, det inte så säkra. Men en ny ping var omöjlig att ignorera. ”Hej. Det här är Joe Tidy från BBC som rapporterade om denna co-op-nyheter, rätt?” Hackarna meddelade mig på Telegram. ”Vi har några nyheter för dig,” de retade. När jag försiktigt frågade vad detta var, gav folket bakom telegramkontot-som inte hade någon namn eller profilbild-gav mig det inre spåret på vad de hävdade att ha gjort för M & s och co-op, i Cyber ​​Attacks som orsakade massstörningar. Högtalare och även om de hävdade vara budbärare, var det uppenbart att de var nära kopplade till – om inte intimt involverade i – M&S- och co -op -hack. De delade bevis som bevisade att de hade stulit en enorm mängd privat kund- och anställdsinformation. Jag kollade in ett urval av de uppgifter de hade gett mig-och sedan raderade det säkert. Konversation med BBC: s redaktionella policyteam beslutade vi att det var i allmänhetens intresse att rapportera att de hade gett oss bevis som bevisade att de var ansvariga för hacket. Jag kontaktade snabbt pressteamet vid co-op för kommentarer, och inom några minuter, som ursprungligen hade bagatelliserat hacket, medgav för anställda, kunder och aktiemarknaden om det betydande dataöverträdelsen. Mycket senare skickade hackarna mig ett långt arg och stötande brev om Co-OP: s svar på deras hack och efterföljande utpressning, vilket avslöjade att återförsäljaren smalt undvikit ett allvarligare hack genom att ingripa i de kaotiska minuterna efter att dess datorsystem infiltrerades. Brevet och konversationen med hackarna bekräftade vad experter i cybersäkerhetsvärlden hade sagt sedan denna våg av attacker mot återförsäljare började – hackarna var från en cyberbrottstjänst som heter Dragonforce. Vem är Dragonforce, kanske du frågar? Baserat på våra samtal med hackare och bredare kunskap har vi några ledtrådar. Dragonforce erbjuder Cyber ​​Criminal Affiliates olika tjänster på deras Darknet -webbplats i utbyte mot en 20% nedskärning av alla löser som samlas in. Vem som helst kan registrera sig och använda sin skadliga programvara för att krypa ett offer för data eller använda sin Darknet -webbplats för sin offentliga utpressning. Detta har blivit normen i organiserad cyberbrott; Det är känt som ransomware-as-a-service. Det mest ökända av de senaste tiderna har varit en tjänst som heter Lockbit, men detta är helt avstängd nu delvis för att det blev knäckt av polisen förra året. Efter att ha demonterat av sådana grupper har ett maktvakuum dykt upp. Cue a tussle for dominance in this underground world, leading to some rival groups innovating their offerings.Power struggle ensuesDragonForce recently rebranded itself as a cartel offering even more options to hackers including 24/7 customer support, for example.The group had been advertising its wider offering since at least early 2024 and has been actively targeting organisations since 2023, according to cyber experts like Hannah Baumgaertner, Head of Forskning på Silobeaker, ett Cyber ​​Risk Protection Company. ”Dragonforces senaste modell innehåller funktioner som administrations- och klientpaneler, kryptering och förhandlingsverktyg för ransomware och mer,” sa Baumgaertner. Som en stark illustration av maktkampen, Dragonforces Darknet-webbplats var nyligen hackad och defaced av en rival gäng som heter Ransomhub, innan han uppstår om en vecka sedan. – Det kan vara för Prime ”Leader” -position eller bara för att störa andra grupper för att ta mer av offerandelen, ”sade Aiden Sinnott, seniorhotforskare från Cyber ​​Security Company Secureworks. Vem drar Strings? Dragonforce’s Prolific Modus Operandi är att posta om sina offer, eftersom det har gjort 168 gånger sedan december 2024 – ett London -företag, ett företag, ett företag, ett företag som ingår i alla, är det att göra det, som det har gjort 168 gånger sedan december 2024 – ett London -företag, ett illinois -företaget, är det att publicera ELLA Every är alla företag. Ändå har Dragonforce tyst om detaljhandelsattackerna. Normalt radio tystnad om attacker indikerar att en offerorganisation har betalat hackarna för att tystas. Eftersom varken Dragonforce, Co-Op eller M&S har kommenterat denna punkt, vet vi inte vad som kan hända bakom kulisserna. Att etablera vem folket står bakom Dragonforce är svårt, och det är inte känt var de ligger. När jag frågade deras telegramkonto om detta fick jag inget svar. Även om hackarna inte berättade för mig uttryckligen att de stod bakom de senaste hackarna på M&S och Harrods, bekräftade de en rapport i Bloomberg som stavade det. Naturligtvis är de brottslingar och kan ligga. Några forskare säger att Dragonforce är baserade i Malaysia, medan andra säger Ryssland, där många av dessa grupper anses vara belägna. We do know that DragonForce has no specific targets or agenda other than making money.And if DragonForce is just the service for other criminals to use – who is pulling the strings and choosing to attack UK retailers?In the early stages of the M&S hack, unknown sources told cyber news site Bleeping Computer that evidence is pointing to a loose collective of cyber criminals known as Scattered Spider – but this has yet to be confirmed by the Police.Scattered Spider är inte riktigt en grupp i ordets normala mening. Det är mer ett samhälle som organiserar över platser som Discord, Telegram och Forums-därmed beskrivningen ”spridd” som gavs av cybersäkerhetsforskare på CrowdStrike. De är kända för att vara engelskspråkiga och förmodligen i Storbritannien och USA och unga-i vissa fall tonåringar. Vi vet detta från forskare och tidigare arresteringar. I november anklagade USA fem män och pojkar i tjugoårsåldern och tonåringar för påstådd spridd spindelaktivitet. En av dem är 22-åriga skotska mannen Tyler Buchanan, som inte har gjort en grund, och resten är USA-baserade. Krackdowns av polisen verkar dock ha haft liten effekt på hackarnas beslutsamhet. På torsdag utfärdade Googles cybersäkerhetsavdelning varningar om att det började se spridda spindelliknande attacker på amerikanska återförsäljare nu också. Som för hackarna jag pratade med på Telegram, avböjde de att svara om de var spridda spindel eller inte. ”Vi kommer inte att svara på den frågan” är allt de sa. Kanske i en nick till hackarnas omogenhet och uppmärksamhetssökande natur, två av dem sa att de ville bli kända som ”Raymond Reddington” och ”Dembe Zuma” efter karaktärer från oss brott thriller den svarta listan som involverar en ville kriminell att hjälpa polisen att ta ner andra kriminella på en svartlista.