Jeden tydzień, dwa włamania – Ferrari i General Bytes

Ferrari

Pierwsze – do Ferrari. Włoski producent samochodów sportowych potwierdził w poniedziałek, że cyberprzestępcy zażądali okupu, a w razie odmowy zapłaty mają ujawnić dane kontaktowe klientów, uzyskane najprawdopodobniej w wyniku ataku ransomware.

Firma nie podała, kiedy incydent miał miejsce, ale może być on powiązany z doniesieniami o ataku ransomware z października 2022 r., kiedy grupa „RansomEXX” twierdziła, że ukradła i ujawniła 7 GB danych z bazy Ferrari – czemu przedsiębiorstwo zaprzeczyło na konferencji prasowej jakiś czas temu.

„Zgodnie z polityką Ferrari nie będzie przelewać okupu, ponieważ płacenie takich żądań finansuje działalność przestępczą i umożliwia cyberprzestępcom kontynuowanie ataków” – czytamy w oświadczeniu z 20 marca. „Zamiast tego uważamy, że najlepszym sposobem działania było poinformować naszych klientów i tym samym powiadomiliśmy naszych klientów o potencjalnym ujawnieniu danych i charakterze incydentu”.

W powiadomieniach wysłanych pocztą elektroniczną do swoich klientów Ferrari potwierdziło, że ujawnione informacje obejmują imiona i nazwiska, adresy zamieszkania, adresy e-mail oraz numery telefonów. Firma nie znalazła dowodów, by zostały naruszone informacje finansowe czy dane dotyczące posiadanych lub zamówionych samochodów.

Ponieważ Ferrari ma jedną z najdroższych linii samochodów na świecie, lista kontaktów zamożnych klientów jest bardzo atrakcyjna dla cyberprzestępców i może dać im możliwość dostosowywania ukierunkowanych złośliwych wiadomości e-mail.

Z drugiej strony pojawia się wiele uszczypliwych komentarzy – że przecież nie kupuje się Ferrari, żeby nikt o tym nie wiedział…

Producent aut oświadczył, że naruszenie nie wpłynęło na funkcje operacyjne firmy i że współpracuje z „zewnętrznymi ekspertami” w celu zwiększenia bezpieczeństwa swoich systemów.

Chociaż Ferrari nie wspomniało w swoim oświadczeniu o RansomEXX, gang ransomware był powiązany z paroma innymi atakami, w tym na giganta logistycznego Hellmann Worldwide, firmę programistyczną i usługową Tyler Technologies i jeszcze kilkoma.

General Bytes

Inny przebieg miało włamanie do General Bytes – producenta bankomatów kryptowalutowych. W weekend firma ujawniła incydent bezpieczeństwa, który doprowadził do kradzieży środków wartych miliony dolarów. Naruszony system był rozwiązaniem chmurowym.

Spółka twierdzi, że osoby atakujące wykorzystały lukę w głównym interfejsie usługi, której bankomaty Bitcoin używają do przesyłania filmów, co pozwoliło im dostarczyć JavaScript i wykonać go z uprawnieniami użytkownika batm.

„Atakujący przeskanował przestrzeń adresową IP hostującą chmurę Digital Ocean i zidentyfikował działające usługi CAS na portach 7741, w tym usługę General Bytes Cloud i innych operatorów GB ATM obsługujących swoje serwery na Digital Ocean (naszym zalecanym dostawcy usług hostingowych w chmurze)” – mówi firma.

Wykonanie kodu zapewniło atakującym dojście do bazy danych oraz kluczy API umożliwiających dostęp do środków w gorących portfelach i giełdach. W rezultacie przestępcy byli w stanie przesyłać środki z gorących portfeli, kraść nazwy użytkowników kont i skróty haseł oraz wyłączać uwierzytelnianie dwuskładnikowe.

Co więcej, osoby atakujące uzyskały „możliwość dostępu do dzienników zdarzeń terminala i skanowania w poszukiwaniu każdego przypadku, w którym klienci skanowali klucz prywatny w bankomacie”, informacji rejestrowanych przez starsze wersje oprogramowania bankomatu.

„Wzywamy wszystkich naszych klientów do podjęcia natychmiastowych działań w celu ochrony ich funduszy i danych osobowych” – napisał na Twitterze General Bytes 18 marca. Incydent skłonił większość operatorów bankomatów w USA do zawieszenia operacji.

W biuletynie dotyczącym bezpieczeństwa, szczegółowo opisującym incydent, firma podzieliła się informacjami na temat kroków, jakie klienci powinni podjąć, aby zabezpieczyć swoje serwery GB ATM (CAS), i podkreśliła, że nawet te, na które zdarzenie mogło nie mieć wpływu, powinny mieć wdrożone zalecane środki bezpieczeństwa.

„Proszę trzymać swój CAS za zaporą sieciową i VPN. Terminale powinny również łączyć się z CAS przez VPN. Dzięki VPN/Firewall atakujący z otwartego Internetu nie mogą uzyskać dostępu do twojego serwera i go wykorzystać. Jeśli twój serwer został naruszony, zainstaluj ponownie cały serwer, w tym system operacyjny” – radzi firma.

Producent bankomatów kryptograficznych wydał poprawkę bezpieczeństwa CAS i wezwał klientów do uznania wszystkich haseł użytkowników i kluczy API do giełd i gorących portfeli za zagrożone oraz zalecił ich zmianę. Firma udostępniła również adresy kryptograficzne użyte podczas włamania oraz adresy IP atakujących.

Chociaż General Bytes nie udostępnił informacji na temat liczby operatorów i użytkowników bankomatów, których dotyczyło zdarzenie, dzienniki transakcji pokazują, że napastnicy ukradli około 1,5 miliona dolarów w Bitcoinach (około 56 BTC) od około 15 operatorów. Skradziono również środki w innych kryptowalutach.

Firma poinformowała, że pomimo kilku audytów bezpieczeństwa przeprowadzonych od 2021 r., luka wykorzystana w tym ataku nie została zidentyfikowana przed incydentem.

Bardzo ciekawe są wnioski General Bytes, opublikowane przez SecurityWeek:

„Problem został rozwiązany w ostatniej aktualizacji oprogramowania. Jednak operatorzy wciąż wdrażają rozwiązanie. Dodatkowe umieszczenie ich infrastruktury za VPN wymaga czasu. Operatorzy, których infrastruktura była oparta na VPN, nie zostali dotknięci. Operatorzy korzystający z naszej usługi w chmurze instalują teraz własne serwery, co zajmuje więcej czasu.

Zamykamy naszą usługę w chmurze, ponieważ nie uważamy tego za bezpieczne rozwiązanie na przyszłość. Operatorzy bankomatów muszą obsługiwać serwery na własnej infrastrukturze”.