【一擊即中】Marks and Spencer遭勒索軟件集團攻擊　一個檔案解鎖安全關卡

英國零售巨頭 Marks and Spencer（M&S）確認近日遭受勒索軟件集團攻擊，導致伺服器癱瘓，受影響的包括虛擬機被加密、網上訂貨系統及電子支付系統失靈，200 個貨倉的員工被迫停工。據報導，事故源頭是黑客成功盜取 M&S 的 NTDS.dit 檔案，從而取得權限在內部執行橫向移動及加密虛擬機，令整個集團的營運陷入停頓。

據安全媒體報導，這次 M&S 入侵事件源於 Scattered Spider 勒索軟件集團成員早在今年二月成功竊取 Windows Active Directory 的核心數據庫文件 NTDS.dit。NTDS.dit 本身儲存了整個網絡環境中的關鍵數據如用家帳戶、密碼雜湊值（Hash）等，是系統進行身份驗證和授權的憑據，一旦被盜取，黑客可以破解雜湊值進行攻擊，從而快速獲得高權限帳戶的控制權，並利用這些憑證進行橫向移動攻擊，最終得以使用 DragonForce 加密軟件加密 VMWare ESXi 伺服器內的虛擬機，導致系統無法運行，繼而有把柄向 M&S 索取高額贖金。

黑客並非傳統集團

早前有安全機構曾公開這個黑客集團的相關資料，Scattered Spider 有很多別名，如 Octo Tempest、Scattered Swine 等，成員擅長以社交工程、網絡釣魚及 SIM 卡交換等手段入侵大型組織，成員多為年輕、精通英語人士。研究員認為他們並非傳統的集團，內部架構鬆散且攻擊目標沒有固定，因而更難追蹤他們的身份。

初期集團主要從事金融詐欺，後來轉向複雜的社交工程攻擊，竊取加密貨幣或勒索企業。2023 年成員曾入侵 MGM Resorts，部署 BlackCat 勒索軟件是首個錄得英語黑客與俄語黑客合作的個案。目前，Scattered Spider 亦有與 RansomHub、Qilin 及 DragonForce 等集團合作，有證據顯示他們正持續進化攻擊手法。

這次網絡入侵事件再次警醒企業，企業須加強部署安全策略，從技術防護層面到安全意識培訓，全方位加強網絡安全，才可減少成為下一個受害者的風險。