Grupy ransomware mają się dobrze

Gang ransomware „Cactus”

Cactus właśnie przyznał się do cyberataku, o którym pod koniec stycznia informował francuski gigant przemysłowy Schneider Electric.

Incydent, jak podała wówczas firma, został wykryty 17 stycznia i miał wpływ jedynie na jej dział ds. zrównoważonego rozwoju, powodując odcięcie dostępu do Resource Advisor i innych systemów używanych przez ten oddział.

Od tego czasu Schneider Electric zaktualizował swoje powiadomienie o wydarzeniu, stwierdzając, że przywrócono dostęp do systemów, których dotyczył problem, a osoby atakujące ukradły „jakąś ilość” danych biznesowych związanych ze zrównoważonym rozwojem.

Wstępne raporty sugerowały, że to Cactus mógł zaaranżować atak, a podejrzenia te potwierdziły się, gdy gang umieścił francuską korporację na swojej stronie internetowej zawierającej przecieki i listę ofiar.

Według tego, co twierdzą hakerzy z grupy Cactus, z systemów Schneider Electric wydobyto niemało, bo około 1,5 terabajta danych. Gang opublikował niewielki zestaw rzekomo skradzionych danych, w tym kopie paszportów i umowy o zachowaniu poufności, z groźbą, że upubliczni wszystkie skradzione informacje, jeśli nie zostanie zapłacony okup.

Dział zrównoważonego rozwoju firmy Schneider Electric świadczy usługi doradcze dużym organizacjom na całym świecie, między innymi takim jak Clorox, DHL, Hilton i PepsiCo. Nie jest jednak jasne, ilu klientów zostało dotkniętych incydentem.

Cactus jest aktywny co najmniej od 2023 roku. Trafił na pierwsze strony gazet w listopadzie, kiedy firma Arctic Wolf zajmująca się bezpieczeństwem obwiniła go o wykorzystanie luk w zabezpieczeniach produktu firmy Qlik zajmującej się analityką biznesową.

Zaobserwowano także wykorzystywanie wad Fortinet VPN w celu uzyskania początkowego dostępu, tworzenie backdoora SSH zapewniającego trwałość, poleganie na narzędziach zdalnego dostępu, kradzież danych uwierzytelniających i szyfrowanie danych we wszystkich dostępnych systemach.

W ostatnich miesiącach Cactus wykazywał się dużą aktywnością i obecnie na swojej stronie z wyciekami publikuje listę ponad stu firm-ofiar.

Najbardziej znany czarny kot

Grupa ransomware określana jako BlackCat lub Alphv przyznała się do niedawno ujawnionych cyberataków, które dotknęły gigantów finansowych LoanDepot i Prudential Financial.

Nazwy firm pojawiły się w piątek 16 lutego na stronie internetowej BlackCat. Na podstawie wiadomości opublikowanych przez hakerów możemy przypuszczać, że obie odmówiły zapłaty okupu.

LoanDepot to duża firma z rynku amerykańskiego, zajmująca się udzielaniem kredytów hipotecznych. Od pewnego czasu było wiadomo, że stała się celem ataku ransomware. Prudential Financial nie przekazał natomiast zbyt wielu informacji. Po ujawnieniu incydentu podał, że napastnicy uzyskali dostęp do danych administracyjnych oraz danych użytkowników, a także kont użytkowników powiązanych z pracownikami i kontrahentami. Stwierdzono, że nie ma dowodów na kradzież danych klientów.

W poście opublikowanym w piątek na swojej stronie internetowej zawierającej przecieki gang informował, że nadal ma dostęp do systemów Prudential. Cyberprzestępcy twierdzili, że rozważali sprzedaż danych, ale mogą je również udostępnić za darmo, „aby dziennikarze mogli zbadać nadużycia finansowe”.

Jeśli chodzi o LoanDepot, firma potwierdziła w styczniu, że atak ransomware spowodował naruszenie danych, które dotknęło 16,6 miliona osób.

W piątek grupa cyberprzestępcza poinformowała, że jest w trakcie sprzedaży skradzionych danych LoanDepot, które rzekomo zawierają więcej informacji, niż podano w powiadomieniu o naruszeniu. Pod koniec 2023 r. BlackCat stał się celem działań organów ścigania i przejęto jego główną witrynę internetową, zawierającą wycieki. Rząd Stanów Zjednoczonych udostępnił także narzędzie do odszyfrowywania, aby pomóc organizacjom, których to dotyczy, odzyskać dane bez płacenia okupu. Pisaliśmy o tym tutaj.

Jednak grupa nie wydawała się zniechęcona, tworząc nową witrynę internetową zawierającą wycieki i informując partnerów, że nie będzie już żadnych ograniczeń co do typów organizacji, które mogą atakować.

W zeszłym miesiącu Stany Zjednoczone ogłosiły nagrodę w wysokości do 10 milionów dolarów za informacje na temat liderów grupy BlackCat i do 5 milionów dolarów za informację o dowolnym podmiocie współpracującym z gangiem.

Czas pokaże, czy cyberprzestępcy utrzymają markę BlackCat przy życiu, czy też przeniosą się do nowej działalności.