Een ransomwaregroep genaamd DragonForce beweert een inbraak te hebben uitgevoerd bij Mobilelink USA, een grote retailer die Cricket Wireless-winkels in de Verenigde Staten exploiteert. De groep zei dat ze meer dan 5TB aan data uit bedrijfssystemen hebben gehaald. De aanvallers beweren dat het materiaal interne documenten en klantgerelateerde informatie bevat, hoewel zij geen voorbeeldbestanden hebben vrijgegeven om deze bewering te verifiëren.
Mobilelink USA beheert meer dan 550 Cricket-winkels verspreid over 21 staten. Beveiligingsanalisten zeiden dat als de beweringen kloppen, de potentiële impact zich kan uitstrekken tot een breed klantenbestand. Zij merkten op dat retailers vaak een mix van operationele gegevens bezitten, waaronder contactgegevens van klanten, aankoopgegevens van apparaten en accountgerelateerde informatie die wordt gebruikt ter ondersteuning van dienstactivatie. Analisten zeiden dat elke blootstelling van dit materiaal het risico op phishingpogingen en andere vormen van fraude kan vergroten.
Het aan Rusland gelieerde DragonForce wordt door onderzoekers beschreven als een actieve ransomware-as-serviceorganisatie die betrokken is bij wereldwijde campagnes voor datadiefstal en afpersing. De groep is in verband gebracht met incidenten die bedrijven in diverse sectoren treffen. Specialisten zeiden dat DragonForce vaak datalekken aankondigt door niet-geverifieerde claims te publiceren voordat bewijs van datadiefstal wordt vrijgegeven. Zij voegden eraan toe dat deze aanpak bedoeld is om organisaties onder druk te zetten tot onderhandelingen.
De inbraak bij Mobilelink USA is nog niet bevestigd door het bedrijf. Er is geen openbare verklaring afgelegd en details over de aard van de aanval zijn nog beperkt. Cybersecurity-analisten zeiden dat in gevallen waarin aanvallers beweren grote datasets te hebben geëxtraheerd, bedrijven doorgaans parallelle forensische onderzoeken uitvoeren om de beschuldigingen te valideren of te weerleggen. Zij zeiden dat deze onderzoeken tijd kunnen kosten omdat onderzoekers serveractiviteiten, logs en netwerkgedrag moeten onderzoeken om potentiële toegangspunten te identificeren.
Deskundigen zeiden dat als klantgegevens worden gecompromitteerd, individuen pogingen kunnen krijgen om via frauduleuze communicatie extra persoonlijke informatie te verkrijgen. Aanvallers gebruiken vaak gedeeltelijke data om overtuigende berichten te creëren die lijken te komen van legitieme klantenserviceteams. Analisten adviseerden klanten van Cricket Wireless en Mobilelink USA om de accountactiviteit te monitoren, facturatieafschriften te bekijken en alert te blijven op ongevraagde contacten die om verificatie van persoonlijke gegevens vragen.
Ransomwaregroepen richten zich vaak op retailers vanwege hun grote klantenbestand en verspreide IT-omgevingen. Analisten zeiden dat point-of-sale systemen, klantenserviceplatforms en apparaatbeheertools kansen kunnen bieden voor aanvallers als netwerken niet volledig gesegmenteerd of gemonitord zijn. Ze voegden eraan toe dat retailers afhankelijk zijn van continue beschikbaarheid van systemen om de dagelijkse gang van zaken te ondersteunen, wat hen kwetsbaar kan maken voor afpersing.
Wetshandhavings- en cybersecurityautoriteiten blijven ransomwaregroepen volgen die gespecialiseerd zijn in datadiefstal. Onderzoekers zeiden dat door afpersing gedreven aanvallen een aanzienlijke uitdaging blijven omdat aanvallers vaak over grenzen heen opereren en afhankelijk zijn van versleutelde communicatiekanalen. Zij merkten op dat claims van datadiefstal soms overdreven zijn, maar zorgvuldig moeten worden beoordeeld omdat zelfs beperkte blootstelling risico’s voor individuen kan opleveren.
Mobilelink USA heeft niet aangegeven wanneer verdere informatie zal worden vrijgegeven. Analisten verwachten meer details zodra het bedrijf de eerste beoordelingen heeft afgerond of als de ransomwaregroep bewijs publiceert.