Compania Canon, victimă a hackerilor Maze

Atacatorii au reușit să fure 10 TB de date din rețeaua companiei.

MAZE RANSOMWARE GROUP DECLARED SUCCESSFUL EXPLOITS OF MANY ...

Compania Canon a fost victima unui atac cibernetic de tip ransomware care a afectat mai multe dintre serviciile sale, inclusiv cel de email, Microsoft Teams, site-ul oficial din SUA al Canon și o serie de aplicații interne.

La 30 iulie, specialiștii portalului de securitate cibernetică BleepingComputer au raportat o defecțiune a serviciului de stocare foto și video image.canon aparținând Canon.

Serviciul a fost indisponibil timp de șase zile și și-a reluat operațiunile abia pe 4 august. Conform update-ului de atunci al Canon, “site-ul s-a confruntat cu o scurgere de date”.

Totuși, experții BleepingComputer au bănuit că incidentul nu a fost o simplă scurgere de date, ci un adevărat atac cibernetic. Suspiciunile au fost confirmate pe 5 august, când o sursă anonimă a furnizat portalului BleepingComputer o notificare internă a companiei trimisă în aceeași zi și intitulată “Mesaj de la Centrul de servicii IT”.

“Atenție: Canon USA se confruntă cu un blocaj masiv de sistem care afectează multe din aplicațiile noastre. Momentan, Microsoft Teams, e-mailul și alte sisteme ar putea să nu fie disponibile. Ne cerem scuze pentru acest inconvenient. Vom veni cu o actualizare cât mai curând posibil”, se arata în notificarea internă respectivă.

Ulterior, analizând o captură de ecran primită de BleepingComputer, conținând cererea de răscumpărare, specialiștii au aflat că gruparea implicată în atacul asupra Canon este Maze.

Cererea de răscumpărare din partea grupării Maze

Specialiștii au contactat operatorii ransomware-ului Maze. Aceștia au confirmat că în dimineața zilei de 5 august au atacat Canon și au furat 10 TB de informații, inclusiv baze de date confidențiale.

Extorționiștii amenință că vor face publice datele Canon, dacă compania nu va plăti răscumpărarea în termen de șapte zile.

“Nu avem totuși nicio legătură cu întreruperea serviciului  image.canon din 30 iulie”, au mai comunicat operatorii Maze.

Reprezentanții companiei Canon nu au oferit deocamdată un comentariu oficial despre incident.

De asemenea, sunt încă necunoscute suma cerută de Maze ca răscumpărare și starea actuală a datelor furate de la Canon.

Gruparea Maze: Zeci de GB de date, furate de la LG și Xerox

Informațiile furate includ codul-sursă pentru diverse produse LG și înregistrări ale serviciului de asistență clienți al companiei Xerox.

Imagine izoologic.com

Operatorii ransomware-ului Maze au publicat zeci de GB de date interne furate din rețelele corporative ale giganților tehnologici LG și Xerox.

Gruparea de criminalitate cibernetică Maze este cunoscută, în primul rând, pentru ransomware-ul cu același nume. Operatorii intră în rețelele corporative, fură fișiere confidențiale și apoi criptează datele, cerând răscumpărare pentru decriptare.

Dacă victima refuză să plătească răscumpărarea și decide să restabilească datele cu ajutorul copiilor de rezervă, infractorii creează o postare pe site-ul lor de pe darkweb și amenință cu publicarea datelor confidențiale ale victimei. Acesteia i se acordată mai multe săptămâni pentru a decide dacă va plăti răscumpărarea. In caz contrar, gruparea Maze publică fișierele pe portalul său de pe darkweb.

La sfârșitul lunii iunie a.c., atacatorii au anunțat că sunt în posesia datelor furate de la LG și Xerox, creând postări pentru fiecare dintre cele două companii. Giganții tehnologici au refuzat să respecte cerințele infractorilor. În consecință, hackerii au publicat 50,2 GB date aparținând LG și 25,8 GB date interne ale companiei Xerox.

Conform portalului ZDNet, datele furate conțin codul-sursă pentru diverse produse LG, cum ar fi telefoane sau laptopuri.

Potrivit paginii Maze, în cazul rețelei LG, atacatorii nu și-au instalat ransomware-ul, ci pur și simplu au furat datele companiei.

“Am decis să nu mai instalăm ransomware-ul, deoarece clienții lor sunt importanți în plan social și nu dorim să interferăm cu operațiunile acestora”, a explicat gruparea Maze.

De la compania Xerox, operatorii Maze au furat informații legate de operațiunile de servicii clienți.

Companiile LG și Xerox nu au comentat deocamdată incidentele.

Operatorii ramsomware-ului DopplePaymer solicită unui subcontractor al NASA răscumpararea datelor

Atacatorii au obținut accesul la infrastructura companiei DMI, subcontractor NASA.

image

La 03.06.2020, operatorii programului ransomware DopplePaymer au felicitat SpaceX și NASA pentru lansarea capsulei Crew Dragon, anunțându-și totodată reușita atacului malware asupra DMI, companie subcontractoare a NASA.

Potrivit ZDNet, atacatorii au reușit să intre în rețelele Digital Management Inc. (DMI), companie de securitate IT cu sediul central la Maryland. Clienții DMI includ atât companii importante precum Fortune 100, cât și agenții guvernamentale, de exemplu NASA. In prezent nu se cunoaște cât de profund au pătruns infractorii informatici în rețelele companiei și câte rețele ale clienților DMI au reușit să compromită. La o primă analiză, atacatorii au avut acces la infrastructura DMI legată de NASA, extrăgând de acolo fișiere referitoare la agenția spațială americană.

Drept confirmare a acțiunii lor frauduloase, operatorii DopplePaymer au publicat 20 de fișiere arhivate pe portalul lor de pe darkweb.

dmi-nasa.png

Acestea conțin o varietate de informații, de la documente legate de managementul personalului până la planuri de proiecte. Datele angajaților din fișierele respective coincid cu datele de pe conturile lor de pe LinkedIn.

dmi-forms-wfh.png

Infractorii au publicat, de asemenea, o listă cu 2583 de servere și stații de lucru, conectate la rețeaua internă a DMI. Conform site-lui, răufăcătorii au criptat conținutul mașinilor și cer acum răscumpărare pentru a le debloca.

dmi-machine-list.png

De ce hackerii nu au criptat pur și simplu datele și nu au cerut răscumpărarea fără a le mai publica? Explicația ar fi că DopplePaymer este una dintre grupările care gestionează site-urile cu scurgeri de date existente pe darkweb (“leak sites”). Pentru început, infractorii publică doar o mică parte din masivul de date iar dacă victima refuză să plătească răscumpărarea publică și restul fișierelor. Acest modus operandi a fost semnalat în luna decembrie 2019, fiind utilizat de grupări de hackeri precum Maze, Mespinoza (Pysa), Ragnarlocker și REvil (Sodinikibi).

Sursa: https://www.securitylab.ru/news/508805.php