Η εταιρεία διανομής χημικών προϊόντων “Brenntag” πλήρωσε λύτρα ύψους 4,4 εκατομμυρίων δολαρίων σε Bitcoin στη συμμορία του DarkSide ransomware, προκειμένου να λάβει έναν αποκρυπτογράφο για τα κρυπτογραφημένα αρχεία, αλλά και να μη διαρρεύσουν οι χάκερς τα κλεμμένα δεδομένα. Η Brenntag είναι κορυφαία εταιρεία διανομής χημικών με έδρα τη Γερμανία, που έχει επί του παρόντος περισσότερους από 17.000 υπαλλήλους, σε περισσότερες από 670 τοποθεσίες.
Σύμφωνα με το ICS Top 100 Chemical Distributors report, η Brenntag είναι η δεύτερη μεγαλύτερη σε πωλήσεις εταιρεία στη Βόρεια Αμερική.
Διαβάστε επίσης: DarkSide ransomware: Μετά την Colonial Pipeline στοχεύει άλλες τρεις εταιρείες
Στις αρχές Μαΐου, η εταιρεία υπέστη ransomware επίθεση που στόχευσε την εταιρεία της Βόρειας Αμερικής. Στα πλαίσια αυτής της επίθεσης, οι χάκερς κρυπτογράφησαν συσκευές που βρίσκονταν στο δίκτυο της εταιρείας κι έκλεψαν μη κρυπτογραφημένα αρχεία.
Η συμμορία του DarkSide ransomware ισχυρίστηκε ότι έκλεψε 150 GB δεδομένων κατά τη διάρκεια της επίθεσης. Για να αποδείξει τους ισχυρισμούς της, η συμμορία δημιούργησε μια ιδιωτική σελίδα διαρροής δεδομένων που περιείχε περιγραφή των τύπων δεδομένων που είχαν κλαπεί, καθώς και screenshots ορισμένων αρχείων.
Η ransomware συμμορία ζήτησε αρχικά από την εταιρεία για λύτρα 133.65 Bitcoin (περίπου 7,5 εκατομμύρια δολάρια). Ωστόσο, μετά από διαπραγματεύσεις, η απαίτηση λύτρων μειώθηκε στα 4,4 εκατομμύρια δολάρια και τα λύτρα πληρώθηκαν στις 11 Μαΐου.
Δείτε ακόμη: FBI και CISA εξέδωσαν ειδοποίηση για το DarkSide ransomware
Η Brenntag ανέφερε σε σχετική της δήλωση τα ακόλουθα: «Η Brenntag της Βόρειας Αμερικής εργάζεται επί του παρόντος για την επίλυση ενός περιορισμένου περιστατικού ασφάλειας πληροφοριών. Μόλις μάθαμε για αυτό το περιστατικό, αποσυνδέσαμε τα επηρεαζόμενα συστήματα από το δίκτυο για να περιορίσουμε την απειλή. Επιπλέον, third-party ειδικοί πάνω στην κυβερνοασφάλεια και την εγκληματολογία προσφέρθηκαν αμέσως να βοηθήσουν στη διερεύνηση του συμβάντος. Ενημερώσαμε επίσης την επιβολή του νόμου για αυτό το περιστατικό.»
Το DarkSide είναι μια Ransomware-as-a-Service (RaaS) επιχείρηση, κατά την οποία οι προγραμματιστές ransomware συνεργάζονται με third-party συνεργάτες ή χάκερς, που είναι υπεύθυνοι για την απόκτηση πρόσβασης σε ένα δίκτυο και την κρυπτογράφηση συσκευών. Στα πλαίσια αυτής της συμφωνίας, η βασική συμμορία του DarkSide κερδίζει 20-30% μιας πληρωμής λύτρων και το υπόλοιπο μέρος των λύτρων πηγαίνει στο συνεργάτη που πραγματοποίησε την επίθεση.
Στις περισσότερες ransomware διαπραγματεύσεις, ο συνεργάτης αποκαλύπτει πώς απέκτησε πρόσβαση στο δίκτυο ενός θύματος. Αυτό μπορεί να γίνεται είτε με τη μορφή μιας έκθεσης ελέγχου ασφαλείας πολλών σελίδων ή μόνο με μια απλή παράγραφο στην οθόνη συνομιλίας Tor, που εξηγεί πώς οι χάκερς απέκτησαν πρόσβαση.
Πρόταση: Ransomware συμμορίες έχουν διαρρεύσει data πάνω από 2.100 εταιρειών μέχρι στιγμής!
Στη συγκεκριμένη περίπτωση, ο συνεργάτης της συμμορίας του DarkSide ισχυρίζεται ότι απέκτησε πρόσβαση στο δίκτυο της εταιρείας αφότου αγόρασε κλεμμένα credentials. Ωστόσο, ανέφερε ότι δεν γνωρίζει πώς αποκτήθηκαν αρχικά τα credentials.
Οι ransomware συμμορίες κι άλλοι κακόβουλοι παράγοντες χρησιμοποιούν συνήθως dark web marketplaces για να αγοράσουν κλεμμένα credentials, ειδικά εκείνα που αφορούν Remote Desktop credentials.
Τον προηγούμενο μήνα, ένα από τα μεγαλύτερα RDP marketplaces, το UAS, υπέστη παραβίαση που δείχνει ότι τα τελευταία τρία χρόνια υπήρχε πρόσβαση σε 1,3 εκατομμύρια κλεμμένα credentials.
Αυτή η επίθεση δείχνει τη σημασία της εφαρμογής ελέγχου ταυτότητας πολλών παραγόντων (MFA) για όλες τις συνδέσεις σε ένα δίκτυο και την τοποθέτηση όλων των Remote Desktop servers πίσω από ένα VPN. Εάν το MFA ήταν ενεργοποιημένο για σύνδεση λογαριασμού, θα ήταν απίθανο ο συνεργάτης της συμμορίας του DarkSide να αποκτήσει πρόσβαση στο δίκτυο.
Πηγή πληροφοριών: bleepingcomputer.com