El minorista Co-op informó la semana pasada que hubo una serie de intentos de accesos ilícitos y aseguró que tomaron medidas preventivas. Tras un análisis forense concluyeron que se trataba de un incidente mayor que comprometió información sensible, aunque descartaron que datos financieros y contraseñas estuvieran involucradas.
La cadena de supermercados británica Co-op confirmó reciente haber sido víctima de un ciberataque que resultó en el robo de datos de un número significativo de sus miembros actuales y anteriores. En días anteriores, la compañía había detectado encendido las alarmas por una serie de intentos de acceso no autorizado, lo que inicialmente calificó como un incidente menor, pero investigaciones forenses internas revelaron que los atacantes lograron extraer información sensible.
«Recientemente hemos experimentado intentos de obtener acceso no autorizado a algunos de nuestros sistemas», había declarado inicialmente un portavoz de Co-op. En ese momento, la empresa sostuvo que, como medida preventiva, había cerrado partes de sus sistemas informáticos, lo que afectó de forma limitada algunos servicios administrativos y su centro de llamadas. Las operaciones en tienda, de comercio rápido y otros servicios continuaron con normalidad.
Las nuevas revelaciones permitieron esclarecer que los atacantes accedieron y extrajeron datos personales de una cantidad significativa de sus miembros. Estos datos incluyen nombres y detalles de contacto, aunque no contraseñas, información financiera ni datos de transacciones.
Fuentes cercanas a la investigación señalan que el ataque ocurrió el 22 de abril y que los actores de amenaza utilizaron tácticas avanzadas de ingeniería social, logrando restablecer la contraseña de un empleado para acceder a la red. Una vez dentro, robaron el archivo NTDS.dit de Windows, una base de datos crítica que almacena los hashes de contraseñas de todas las cuentas de usuario del sistema.
El ataque ha sido atribuido a afiliados del grupo DragonForce, un colectivo que opera bajo el modelo de ransomware como servicio (Ransomware-as-a-Service o RaaS). En este modelo, los operadores proporcionan herramientas de ataque a terceros, a los que se identifica como “afiliados”, quienes vulneran redes, exfiltran datos y luego instalan el ransomware. A cambio, los operadores obtienen un porcentaje de los rescates que pagan las víctimas.
Según informó la BBC de Londres, el operador de DragonForce se atribuyó directamente el ataque a Co-op y proporcionó evidencia de su autoría, incluyendo imágenes de datos robados. Los atacantes afirmaron haber obtenido información de hasta 20 millones de personas asociadas con el programa de membresía de la empresa, e incluso contactaron a ejecutivos de Co-op a través de Microsoft Teams como parte de su estrategia de extorsión, compartiendo capturas de pantalla de los mensajes enviados.
Tras estos hechos, Co-op advirtió internamente a sus empleados que extremaran las precauciones al utilizar Microsoft Teams y evitaran compartir información confidencial, ante el temor de que los atacantes pudieran tener aún acceso a su red.
El ataque guarda similitudes con el sufrido recientemente por Marks & Spencer (M&S, también vinculado a DragonForce. En ese incidente, los actores de amenaza lograron comprometer los sistemas de la empresa, lo que obligó a suspender temporalmente todos los pedidos en línea. Estos ataques recientes apuntan a una campaña más amplia de infiltración dirigida al sector minorista británico.
Co-op opera más de 3.700 tiendas en Reino Unido y genera ingresos anuales cercanos a los 10 mil millones de dólares, también abastece productos a más de 5 mil puntos de venta externos. Su base de miembros supera los 6,2 millones de personas, lo que convierte la filtración en un incidente con amplias implicancias para la privacidad y la seguridad de datos personales.
En respuesta al ataque, Co-op ha iniciado una reconstrucción completa de sus controladores de dominio de Windows y está reforzando su infraestructura con la ayuda del equipo de respuesta ante amenazas de Microsoft (DART), así como con el soporte de KPMG y AWS. Entre los afiliados involucrados al ataque figura el grupo Scattered Spider, conocido como Octo Tempest, una comunidad fragmentada de ciberdelincuentes que comparten herramientas y técnicas, como ataques de ingeniería social, intercambio de SIM y fatiga de autenticación multifactor (MFA). Aunque algunos miembros originales de este colectivo han sido arrestados, otros actores -posiblemente imitadores- continúan utilizando sus tácticas para ejecutar ataques sofisticados.