Η TransUnion South Africa αποκάλυψε ότι χάκερ παραβίασαν έναν από τους servers της χρησιμοποιώντας κλεμμένα credentials και ζήτησαν λύτρα για να μην αποδεσμευτούν κλεμμένα δεδομένα.

Το αφρικανικό τμήμα της TransUnion δραστηριοποιείται σε οκτώ αφρικανικές χώρες προσφέροντας λύσεις εμπορικής και καταναλωτικής ασφάλισης και πληροφόρησης κινδύνου σε διάφορους κλάδους. Σύμφωνα με τη δήλωση της εταιρείας, ένα μη εξουσιοδοτημένο άτομο απέκτησε πρόσβαση σε server με έδρα τη Νότια Αφρική χρησιμοποιώντας κλεμμένα credentials.

Ο εισβολέας του συστήματος φαίνεται να έχει διεκπεραιώσει δεδομένα που είναι αποθηκευμένα σε αυτόν τον server και στη συνέχεια εκβίασε την TransUnion απαιτώντας πληρωμή λύτρων για τη μη δημοσίευση των κλεμμένων αρχείων. Η εταιρεία έχει σημειώσει ότι δεν πρόκειται να πληρώσει τον χάκερ.

Η TransUnion South Africa λέει ότι έχει συνεργαστεί με εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας και ειδικούς ψηφιακής εγκληματολογίας για να διερευνήσουν το περιστατικό. Επίσης, συνεργάζονται με τις αρχές επιβολής του νόμου και τις ρυθμιστικές αρχές της χώρας.

Τέλος, η TransUnion πιστεύει ότι ο server που έχει παραβιαστεί περιέχει πληροφορίες σχετικές μόνο με τις επιχειρήσεις της Νότιας Αφρικής, επομένως εκείνοι στη Μποτσουάνα, την Κένυα, τη Ναμίμπια, τη Ρουάντα, τη Σουαζιλάνδη, τη Ζάμπια και το Μαλάουι δεν επηρεάζονται από αυτό το περιστατικό.

Βραζιλιάνοι χάκερ ανέλαβαν την ευθύνη

Μια βραζιλιάνικη ομάδα χάκερ γνωστή ως “N4ughtysectTU” ανέλαβε την ευθύνη για την επίθεση και είπε στο BleepingComputer ότι “έκλεψε” 4 TB δεδομένα κατά τη διάρκεια της κυβερνοεπίθεσης.

Οι απειλητικοί φορείς ισχυρίζονται ότι παραβίασαν έναν επισφαλή server TransUnion SFTP και έκλεψαν δεδομένα που περιείχαν περίπου 54 εκατομμύρια πελάτες, κυρίως από τη Νότια Αφρική. Ωστόσο, στα κλεμμένα δεδομένα περιλαμβάνονται αρχεία και από άλλες χώρες.

Ο απειλητικός παράγοντας “N4ughtysecTu” μας είπε ότι δεν έκλεψαν user credentials, αλλά πραγματοποίησαν επίθεση brute force στον server SFTP. Ο λογαριασμός που τελικά παραβίασαν φέρεται να χρησιμοποιούσε τον κωδικό πρόσβασης “Password”, επομένως ήταν γρήγορο και απλό στο brute-force.

Μια αναφορά της NordVPN τοποθετεί το “password” ως τον πέμπτο πιο συχνά χρησιμοποιούμενο κωδικό πρόσβασης το 2021.

Επιπλέον, οι χάκερ είπαν στο Bleeping Computer ότι όρισαν τη ζήτηση λύτρων σε 15.000.000 δολάρια σε Bitcoin και απείλησαν να εκβιάσουν τους πελάτες της TransUnion απαιτώντας πληρωμή «ασφάλισης» εάν δεν καταβληθούν λύτρα.

Η ομάδα hacking δηλώνει ότι η «ασφάλιση» για τους μεγάλους πελάτες της TransUnion θα είναι 1.000.000 $, ενώ οι μικρότερες επιχειρήσεις θα έχουν απαίτηση 100.000 $.

Όσοι πληρώνουν αυτήν την ασφάλιση φέρεται να αποκλείονται από τη δημοσίευση των δεδομένων τους από την ομάδα hacking.

Εάν είστε πελάτης της TransUnion στη Νότια Αφρική, συνιστάται να παραμείνετε ψύχραιμοι και να αναφέρετε τυχόν ύποπτες αυτόκλητες επικοινωνίες στις αρχές.

Επίσης, Ο Lee Naik, Διευθύνων Σύμβουλος της TransUnion Νότιας Αφρικής, καθησυχάζει τους πελάτες ότι θα βοηθήσουν όλες τις εταιρείες των οποίων τα δεδομένα κλάπηκαν κατά τη διάρκεια της επίθεσης.

Πηγή πληροφοριών: bleepingcomputer.com