Ransomware LockBit uderza w Accenture – jedną z największych firm konsultingowych IT

Kilka słów o Accenture

Wyceniana na 44,3 miliarda dolarów Accenture jest jedną z największych na świecie firm doradztwa technologicznego: zatrudnia około 569 000 osób w 50 krajach. Do klientów Accenture należy 91 z listy Fortune Global 100 i ponad trzy czwarte z listy Fortune Global 500. Według raportu rocznego za rok 2020 obsługuje ona giganta e-commerce Alibabe, Cisco i Google. Te dane z pewnością skusiły grupę przestępczą LockBit do ataku. W poście na swojej stronie internetowej w DarkWebie zaoferował na sprzedaż bazy danych Accenture – wynik uderzenia w to, co gang uważa za „żałosne bezpieczeństwo Accenture”.

Giganta zaatakowano za pomocą ransomware-as-a-service (RaaS) i opublikowano nazwę i logo „Accenture, globalnej firmie konsultingowej zajmującej się doradztwem biznesowym, która ma dostęp do informacji poufnych w niektórych z największych i najpotężniejszych firm na świecie”.

Wiadomość opublikowana na stronie gangu:

„Ci ludzie są poza prywatnością i bezpieczeństwem. Naprawdę mam nadzieję, że ich usługi są lepsze niż to, co widziałem jako insider. Jeśli jesteś zainteresowany kupieniem baz danych skontaktuj się z nami.”

Accenture powiedział, że od tego czasu przywrócił uszkodzone systemy z kopii zapasowych. Według Security Affairs, pod koniec odliczania czasu płatności za okup, strona gangu pokazała folder o nazwie W1, który zawiera zbiór dokumentów PDF rzekomo skradzionych z firmy. Operatorzy LockBit twierdzili 11 sierpnia o godzinie 17:30 GMT., że uzyskali dostęp do sieci Accenture i przygotowywali się do wycieku plików skradzionych z serwerów.

Gang LockBit

Gang ransomware pojawił się we wrześniu 2019 r., a w czerwcu 2021 r. uruchomiła LockBit 2.0 wraz z kampanią reklamową w celu rekrutacji nowych partnerów. „LockBit twierdzi również, że oferuje najszybszą eksfiltrację danych na rynku za pośrednictwem StealBit, narzędzia do kradzieży danych, które rzekomo może pobrać 100 GB danych z zaatakowanych systemów w mniej niż 20 minut” – można przeczytać na profilu gangu.

LockBit, podobnie jak jego nieistniejące już odpowiedniki DarkSide i REvil, działa w modelu ransomware-as-a-service (RaaS). Składa się z podmiotu przestępczego – kierującego atakiem oraz głównych twórców szkodliwego oprogramowania. Niektóre z wcześniejszych ofiar LockBit to Press Trust of India i Merseyrail.

Backupy danych – ostatnią deską ratunku

Accenture potwierdza atak i twierdzi, że wszystko jest w porządku. Pomogły im backupy:

„Dzięki naszym kontrolom bezpieczeństwa i protokołom zidentyfikowaliśmy nieprawidłową aktywność w jednym z naszych środowisk. Natychmiast zamknęliśmy sprawę i wyizolowaliśmy serwery, których dotyczy problem” – napisał w oświadczeniu Accenture.

„W pełni przywróciliśmy nasze systemy, których dotyczy problem, z kopii zapasowych i nie wpłynęło to na działanie Accenture ani na systemy naszych klientów”.

Co prawda przywrócili dane, lecz nie wiadomo dalej co się dziej z danymi klientów, które rzekomo wykradli przestępcy.

Insider sprawcą ataku?

Badacze Cyble zasugerowali w swoim poście na Twitterze, że do ataku mógł się przyczynić Insider – czyli kogoś zaufany z wewnątrz firmy. „Wiemy, że LockBit zatrudnia pracowników korporacyjnych, aby uzyskać dostęp do sieci swoich celów” — napisała firma na Twitterze wraz z zegarem odliczającym, ile czasu zostało Accenture na wykupienie okupu.

Cyble powiedział, że LockBit twierdził, że wykradł ponad 6TB baz danych i zażądał 50 milionów dolarów okupu. Sami atakujący w swoich pogróżkach stwierdzili, że była to „krecia robota – przez kogoś, kto nadal tam jest zatrudniony”. Chociaż Cyble nazwał to „mało prawdopodobne”.

Podsumowanie

Jak pokazuje powyższy przykład, atakowane są nawet najbardziej rozwinięte firmy IT. Nie ma tutaj wyjątków. Incydenty z oprogramowaniem ransomware stały się krytycznym zagrożeniem dla bezpieczeństwa narodowego i ekonomicznego, które spowodowało, że firmy muszą spłacać poważne żądania wymuszenia okupu. Trzeba pamiętać, że wraz ze wzrostem liczby ataków na infrastrukturę korporacyjną i krytyczną obserwujemy towarzyszącą temu taktykę zwaną „potrójnym wymuszeniem”. Poufne dane z systemów zaatakowanej firm są wydobywane przed ich zablokowaniem za pomocą szyfrowania, a następnie wywierany jest nacisk, aby firmy zapłaciły chroniąc się przed opublikowaniem skradzionych danych. W razie nieuzyskania okupu, atak przechodzi w trzecią fazę. Hakerzy wykorzystując skradzione dane do szantażowania klientów ofiary lub przeprowadzania ataków DDoS.