Hackerii au sutras date de la producătorul Jack Daniel’s

Hackerii au reușit să fure informații despre angajați, contracte, documente financiare și corespondență internă.

Jack Daniel’s Hit By Ransomware Attack

Operatorii ransomware-ului REvil au anunțat compromiterea sistemelor informatice ale companiei Brown-Forman Corporation, unul dintre cei mai mari producători de băuturi alcoolice din Statele Unite, care deține mărci precum Jack Daniel’s și Finlandia.

Hackerii au reușit să fure peste 1 TB de date confidențiale din rețeaua companiei, constând în informații despre angajați, contracte, documente financiare și corespondență internă.

Ca dovadă a reușitei acțiunii de hacking, gruparea a postat pe site-ul său de pe darkweb o serie de capturi de ecran cu fișiere ale companiei și conversații interne între angajați. Atacatorii au afirmat, de asemenea, că au studiat infrastructura informatică a companiei timp de o lună.

Suma cerută ca răscumpărare nu este cunoscută.

Compania Brown-Forman a recunoscut incidentul, dar a menționat că a reușit să împiedice criptarea sistemelor. De asemenea, reprezentanții Brown-Forman au declarat că nu au început niciun fel de negocieri cu atacatorii.

Modus operandi

Conform portalului Zdnet.com, operatorii REvil folosesc ca punct de intrare în sistemele informatice ale victimei echipamentele de rețea rămase neprotejate, ca ulterior să-și răspândească programul malițios pe dispozitive din rețeaua targetată.

Hackerii REvil au publicat datele furate de la Elexon

REvil Ransomware Data Breach: 'Vierra Magen Marcus' 'Elexon' Hacked
La 01.06.2020, infractorii informatici REvil au publicat, pe pagina grupării lor, date confidențiale furate de la compania britanică de energie electrică Elexon. Acestea includ 1.280 de fișiere, inclusiv pașapoarte ale angajaților și informații corporative confidențiale.
La 14.05. a.c., infractorii au lansat un atac cibernetic asupra Elexon, companie-cheie în sistemul de alimentare cu energie electrică din Marea Britanie. Incidentul a vizat doar rețeaua internă a companiei și laptopurile angajaților. Serverul de mail a fost de asemenea afectat, fiind ulterior deconectat. Potrivit experților, atacatorii au exploatat o vulnerabilitate (CVE-2019-11510) la nivelul versiunii depășite a serverului SSL VPN Pulse Secure, utilizat de companie.
Snapshoturi cu pașapoartele angajaților:


Reprezentanții Elexon au refuzat să îndeplinească cerințele răufăcătorilor și și-au refăcut infrastructura IT din backup-uri, ceea ce i-a determinat pe hackeri să publice datele furate.
Elexon joacă un rol esențial în piața de energie electrică cu ridicata, gestionând anual peste 1,5 miliarde de lire sterline din fondurile clienților săi.
În luna ianuarie a.c., aceeași grupare de hackeri a atacat cu ransomware compania de schimb valutar Travelex.
Sursa: https://www.securitylab.ru/news/508790.php

Operatorii ramsomware-ului DopplePaymer solicită unui subcontractor al NASA răscumpararea datelor

Atacatorii au obținut accesul la infrastructura companiei DMI, subcontractor NASA.

image

La 03.06.2020, operatorii programului ransomware DopplePaymer au felicitat SpaceX și NASA pentru lansarea capsulei Crew Dragon, anunțându-și totodată reușita atacului malware asupra DMI, companie subcontractoare a NASA.

Potrivit ZDNet, atacatorii au reușit să intre în rețelele Digital Management Inc. (DMI), companie de securitate IT cu sediul central la Maryland. Clienții DMI includ atât companii importante precum Fortune 100, cât și agenții guvernamentale, de exemplu NASA. In prezent nu se cunoaște cât de profund au pătruns infractorii informatici în rețelele companiei și câte rețele ale clienților DMI au reușit să compromită. La o primă analiză, atacatorii au avut acces la infrastructura DMI legată de NASA, extrăgând de acolo fișiere referitoare la agenția spațială americană.

Drept confirmare a acțiunii lor frauduloase, operatorii DopplePaymer au publicat 20 de fișiere arhivate pe portalul lor de pe darkweb.

dmi-nasa.png

Acestea conțin o varietate de informații, de la documente legate de managementul personalului până la planuri de proiecte. Datele angajaților din fișierele respective coincid cu datele de pe conturile lor de pe LinkedIn.

dmi-forms-wfh.png

Infractorii au publicat, de asemenea, o listă cu 2583 de servere și stații de lucru, conectate la rețeaua internă a DMI. Conform site-lui, răufăcătorii au criptat conținutul mașinilor și cer acum răscumpărare pentru a le debloca.

dmi-machine-list.png

De ce hackerii nu au criptat pur și simplu datele și nu au cerut răscumpărarea fără a le mai publica? Explicația ar fi că DopplePaymer este una dintre grupările care gestionează site-urile cu scurgeri de date existente pe darkweb (“leak sites”). Pentru început, infractorii publică doar o mică parte din masivul de date iar dacă victima refuză să plătească răscumpărarea publică și restul fișierelor. Acest modus operandi a fost semnalat în luna decembrie 2019, fiind utilizat de grupări de hackeri precum Maze, Mespinoza (Pysa), Ragnarlocker și REvil (Sodinikibi).

Sursa: https://www.securitylab.ru/news/508805.php