Znowu głośno o LockBit – tym razem w związku z wyciekiem z Continental

Wyciek danych w Continental – kto stał za atakiem

Obecnie wiemy już, kto stał za atakiem. Znany gang ransomware LockBit zagroził opublikowaniem plików rzekomo skradzionych niemieckiemu gigantowi motoryzacyjnemu. Co więcej, grupa postraszyła upublicznieniem dzienników rozmów między cyberprzestępcami a przedsiębiorstwem. Jeśli ujawniony w sierpniu przez Continental atak rzeczywiście został przeprowadzony przez LockBit, możliwe, że spółka do tej pory próbowała negocjować z hakerami.

O LockBit pisaliśmy już wielokrotnie, ostatnio tutaj. Specjaliści z Rapid 7 twierdzą, że udział grupy w rynku ataków ransomware wzrósł z 1% w 2020 r. do 4% w 2021 r., a liczba ta najprawdopodobniej będzie jeszcze bardziej imponująca, jeżeli porównamy dane za bieżący rok.

„Firmy z sektora motoryzacyjnego to zazwyczaj duże, złożone organizacje, które zarządzają cennymi aktywami, więc nie jest niespodzianką, że atakują je grupy ransomware. Zaskakujące jest to, że międzynarodowe organizacje nadal polegają na technologiach, które nie są w stanie zapobiegać ransomware”.

Darren Williams, dyrektor generalny firmy Blackfog specjalizującej się w ransomware dla SecurityWeek

Dodał też: „Niedawny atak na brytyjskiego dealera samochodowego Pendragon, podczas którego cyberprzestępcy zażądali rekordowego okupu w wysokości 54 milionów funtów, wyraźnie pokazuje, jak lukratywny może być ten sektor dla hackerów. Niepokojące jest to, że trend ukierunkowania na tę branżę będzie kontynuowany, chyba że zainwestujemy w nowszą technologię zaprojektowaną w celu zapobiegania współczesnym zagrożeniom”.

W połowie tego roku miały miejsce ciekawe wydarzenia dotyczące LockBit. Witryna hakerów służąca do publikacji plików skradzionych klientom została wyłączona przez atak rozproszonej odmowy usługi (DDoS), który prawdopodobnie uruchomiono w odpowiedzi na opublikowanie przez cyberprzestępców danych skradzionych firmie Entrust.

Naruszenie Entrust zostało wykryte 18 czerwca, a firma zaczęła informować swoich klientów 6 lipca. Włamanie wyszło jednak na jaw dopiero 21 lipca, kiedy badacz bezpieczeństwa natrafił na kopię wysłanego przez Entrust powiadomienia.

Niektórzy badacze stwierdzili wówczas, że Entrust prawdopodobnie padł ofiarą ransomware, ale żadna konkretna nazwa nie została wymieniona. Jednak 18 sierpnia grupa LockBit przyznała się do ataku, grożąc wyciekiem wszystkich skradzionych plików w ciągu 24 godzin, chyba że Entrust zapłaci okup.

Krótko po tym, jak hakerzy zaczęli publikować dane Entrust, ich witryna z wyciekiem została zaatakowana przez DDoS. Żądania ataku skierowane na stronę LockBit zawierały ciąg znaków wzywający grupę do usunięcia skradzionych danych.

Badacz Cisco Talos Azim Shukuhi podał, że cyberprzestępcy twierdzili, jakoby otrzymywali 400 żądań na sekundę z ponad 1000 serwerów.

Nie jest jasne, kto stał za atakiem, ale pojawiły się spekulacje, że mogło to być samo Entrust. Firma zajmująca się bezpieczeństwem nie udostępniła żadnych aktualizacji dotyczących incydentu, poza wstępnym oświadczeniem potwierdzającym naruszenie systemów wykorzystywanych do zarządzania zasobami ludzkimi, finansami i marketingiem. Firma stwierdziła, że nie ma dowodów na to, by miało to wpływ na działanie lub bezpieczeństwo jej produktów i usług.

Badacz Soufiane Tahiri uzyskał kopię czegoś, co wydaje się być pogawędką między Entrust a atakującymi. Pokazuje, że hakerzy początkowo zażądali okupu w wysokości 8 milionów dolarów, a następnie obniżyli wymagania do 6,8 miliona dolarów. Ofiara była gotowa zapłacić jednak tylko milion dolarów.