Niemiecka firma zwlekała z płatnością okupu. Dane trafiły do sieci
Gedia to niemiecka firma z branży motoryzacyjnej, która została niedawno zaatakowana przez ransomware. Przestępcy postawili ultimatum – zapłaćcie okup, a zostawimy was w spokoju. Pieniędzy nie zobaczyli, więc wszystkie uzyskane dane trafiły do sieci.
Na początku stycznia pisałem o nowym sposobie zarobku cyberprzestępców. Szyfrowanie danych przestaje się opłacać ze względu na backupy. Przedsiębiorcy coraz trzeźwiej podchodzą do tematu i inwestują w kopie zapasowe. Co robią przestępcy, żeby dalej zarabiać? Grożą publikacją danych.
I tak zrobili. W internecie pojawiły się pliki zawierające hasła dostępowe do systemów IT, wrażliwe dane dotyczące infrastruktury, a nawet loginy i hasła wszystkich pracowników. Firma poinformowała, że naprawa strat zajmie tygodnie, a może nawet miesiące. Jak widać szantaż okazał się nieskuteczny, a niemiecka korporacja jest teraz w sporych opałach.
Nowa metoda wykorzystania ransomware – blokada plików już nie wystarcza
Wśród opublikowanych plików, znalazły się także bardziej wrażliwe dla firmy dane. Przedstawiają szczegółowy rozkład sieci komputerowych firmy, oraz plany centrum przetwarzania danych. W ręce przestępców wpadły także kopie zapasowe wszystkich plików międzynarodowej firmy Gedia.
Do ataku doszło 21 stycznia. Systemy teleinformatyczne Gedii zostały całkowicie sparaliżowane, a firma odesłała pracowników do domu. Cyberprzestępcy wykorzystali lukę CVE-2019-19781 z użyciem ransomware REVil. Wykryto ją w połowie grudnia, a do sieci trafiły kody umożliwiające atak.
Wrażliwość serwerów Citrix została już załatana, ale do tego czasu crackerzy zdołali dokonać sporych szkód. Lukę próbowała wykorzystać także grupa Maze oraz inna, z użyciem ransomware Ragnarok.
