Теги → вымогатели
Быстрый переход

Украинская киберполиция арестовала хакеров, распространявших вирус-вымогатель Clop

Департамент киберполиции Национальной полиции Украины сообщил в среду о серии рейдов, проведённых в Киеве и Киевской области, которые закончились арестом шести человек, предположительно входящих в группу по распространению вируса-вымогателя Clop.

Рейды прошли в рамках международной операции, осуществляемой при содействии и координации Интерпола (IGCI) совместно с работниками правоохранительных органов Республики Корея и США. В результате обысков, проведённых в 21 доме, были изъяты десятки компьютеров и дорогие автомобили в дополнение к примерно $185 тысячам. На имущество подозреваемых наложен арест.

Сообщается, что совместными усилиями правоохранителей удалось прекратить работу инфраструктуры, с которой осуществляется распространение вируса Clop, и заблокировать каналы легализации криптовалюты, полученной преступным путём.

Среди жертв хакерской группировки значатся компании Shell и Kroger, Стэнфордский университет, Мэрилендский университет и Университет Колорадо, Резервный банк Новой Зеландии и компания по кибербезопасности Qualys. Украинская полиция сообщила, что общий ущерб, нанесённый атаками преступников, оценивается в $500 млн.

В 2019 году группировка провела атаку с использованием программ-вымогателей против четырёх южнокорейских компаний, в результате чего было заражено вирусом более 800 серверов и компьютеров. В ноябре прошлого года группа также атаковала южнокорейского гиганта электронной коммерции E-Land, выведя из строя её компьютерную сеть на несколько дней. Хакерская группа также известна тем, что предпочитает атаковать сети компаний, использующих устаревший файлообменный сервис Accellion FTA (File Transfer Application). Таким, например, оказался канадский производитель самолётов и космической техники Bombardier.

В свою очередь, компания по кибербезопасности Intel 471 сообщила ресурсу BleepingComputer, что украинские власти арестовали лишь людей, причастных к отмыванию денег для группировки Clop, а основные участники группировки, скорее всего, находятся в России. «Мы не думаем, что какие-либо ключевые участники CLOP были задержаны, и мы полагаем, что они, вероятно, живут в России», — заявили в Intel 471.

Минюст США вернул большую часть биткоинов, выплаченных Colonial Pipeline в качестве выкупа хакерам-вымогателям

Министерство юстиции США сообщило о конфискации биткоинов на сумму $2,3 млн, которые были переданы крупнейшим американским оператором нефтепровода Colonial Pipeline хакерской группе DarkSide в качестве платы за разблокировку доступа к корпоративным компьютерным системам.

neowin.net

neowin.net

В прошлом месяце Colonial Pipeline подверглась масштабной атаке с использованием программы-вымогателя на свои компьютерные системы, что привело к приостановке работы трубопровода на несколько дней и нехватке топлива в густонаселённых штатах на Восточном побережье. Несмотря на то, что ФБР убеждает организации не платить хакерам, компания заплатила миллионы долларов в биткоинах в качестве выкупа DarkSide, чтобы восстановить работу свой инфраструктуры.

Согласно пресс-релизу Министерства юстиции США, правоохранительным органам удалось отследить несколько переводов биткоинов и установить, что примерно 63,7 биткоина, представляющих выручку хакеров, были переведены на определённый адрес. Для этого адреса у ФБР имелся «секретный ключ» или примерный эквивалент пароля, необходимого для доступа к средствам в криптовалюте.

Успеху операции способствовало сотрудничество с правоохранительными органами Colonial Pipeline, которая уведомила ФБР об атаке DarkSide и предоставила информацию о выплатах вымогателям в размере 75 биткоинов.

Министерство юстиции США пообещало использовать все инструменты своего цифрового арсенала для отключения экосистемы программ-вымогателей, в то время как ФБР предупредило, что нет места вне его досягаемости, которое злоумышленники могли бы использовать для хранения своих средств.

Производитель аудиотехники Bose сообщил об утечке данных в результате атаки вымогательского ПО

Компания Bose, занимающаяся разработкой и производством аудиотехники, сообщила об утечке данных в результате атаки с использованием программы-вымогателя. Согласно имеющимся данным, злоумышленники провели успешную кампанию против IT-систем Bose в марте этого года.

Изображение: Bleeping Computer

Изображение: Bleeping Computer

В письменном уведомлении о взломе, которое Bose подала в Генеральную прокуратуру Нью-Гэмпшира, говорится, что компания «пережила сложный киберинцидент, который привёл к развёртыванию вредоносных программ/программ-вымогателей в её среде». В компании отметили, что сотрудники Bose впервые обнаружили вредоносное/вымогательское ПО в IT-системах американского подразделения Bose 7 марта 2021 года.

Для восстановления доступа к IT-системам Bose обратилась за помощью в стороннюю компанию, работающую в сфере информационной безопасности. Также потребовались услуги экспертов-криминалистов, которые должны были определить, удалось ли злоумышленникам получить доступ к каким-либо конфиденциальным данным Bose. В компании отметили, что Bose не платила выкуп за разблокировку систем.

«Мы не платили выкуп. Мы быстро восстановили и защитили наши системы при поддержке сторонних экспертов по кибербезопасности. В ходе расследования мы выявили небольшое количество лиц, данные которых были скомпрометированы в ходе инцидента. Мы направили им уведомления об этом, в соответствии с требованием законодательства», — прокомментировала данный вопрос директор по работе со СМИ в Bose Джоан Бертьям (Joanne Berthiaume).  

Согласно имеющимся данным, в ходе этого инцидента злоумышленники получили доступ к информации о некоторых бывших и действующих сотрудниках Bose. Хотя специалисты не обнаружили подтверждения того, что эти данные были скопированы из систем Bose, они не исключают такую вероятность. После атаки Bose также задействовала сторонних специалистов для мониторинга даркнета не предмет появления украденных данных, но им так и не удалось обнаружить их в интернете.

Страховая компания CNA из США заплатила хакерам $40 млн за разблокировку внутренних IT-систем

CNA Financial Corp., одна из крупнейших страховых компаний США, в конце марта заплатила хакерам $40 млн за восстановление контроля над своей внутренней сетью. Такой выкуп требовали злоумышленники, которые в ходе атаки использовали программу-вымогатель, шифрующую данные на заражённых компьютерах.

Изображение: Aynsley Floyd / Bloomberg

Изображение: Aynsley Floyd / Bloomberg

Согласно имеющимся данным, CNA заплатила хакерам выкуп спустя две недели после атаки, в результате которой злоумышленникам удалось парализовать работу внутренней сети компании. Об этом пишет издание Bloomberg со ссылкой на собственные осведомлённые источники, которые пожелали сохранить конфиденциальность, поскольку не имеют права обсуждать данный вопрос публично. Также было сказано, что изначально CNA пыталась восстановить данные своими силами, но через неделю безуспешных попыток сделать это вступила в переговоры с хакерами.

В официальном заявлении CNA сказано, что компания следовала закону, провела консультации и передала все необходимые данные в ФБР и Управление по контролю за иностранными активами Министерства финансов США. Компания следовала действующим рекомендациям, которые позволяют избежать нарушения санкций при выплате выкупа хакерам.

В ходе атаки на CNA хакеры использовали вредоносное программное обеспечение Phoenix Locker. Внутреннее расследование показало, что осуществившие эту кампанию злоумышленники не подпадают под санкции, поэтому было принято решение о выплате выкупа. Сам факт того, что CNA заплатила хакерам, вероятно, вызовет недовольство властей и регуляторов. ФБР в прошлом также не рекомендовало платить хакерам, поскольку это не гарантирует восстановление работоспособности систем.

Крупнейший оператор нефтепровода в США подвергся кибератаке

По сообщениям сетевых источников, крупнейший американский оператор нефтепровода Colonial Pipeline подвергся кибератаке с использованием программы-вымогателя. Компания зафиксировала инцидент 7 мая, после чего для проведения расследования были приостановлены все операции.

По словам двух источников из индустрии кибербезопасности, в атаке на Colonial Pipeline использовалась программа-вымогатель, предназначенная для блокировки IT-систем путём шифрования данных с последующим требованием оплаты за восстановление информации. Вредоносное ПО такого типа часто используют киберпреступные группировки, которые пытаются извлечь выгоду, предлагая жертве расшифровать данные за определённую плату.

На данный момент неизвестно, кто причастен к атаке на Colonial Pipeline, поскольку компания не раскрывает связанные с инцидентом подробности. После обнаружения проблемы она связалась с независимой компанией, работающей в сфере информационной безопасности, для расследования инцидента. Также были уведомлены правоохранительные органы и другие федеральные агентства США. Ранее появлялась информация о том, что Colonial Pipeline приостановила работу линий по производству бензина и дистиллята. Как долго трубопроводы компании будут простаивать, пока неизвестно.

Сеть трубопроводов Colonial Pipeline используется для поставки топлива с американских нефтеперерабатывающих заводов на побережье Мексиканского залива, в густонаселённые восточные и южные районы США. Ежедневно компания транспортирует 2,5 млн баррелей бензина, дизельного топлива, авиационного керосина и других продуктов нефтепереработки по трубам протяжённостью более 8500 км.

Хакеры перестали требовать с Apple выкуп за украденные схемы будущих устройств и удалили слитые данные

На прошлой неделе сообщалось, что хакерская группировка REvil взломала компьютеры партнёра Apple, компании Quanta Computer и похитила чертежи будущих ноутбуков MacBook и другой «яблочной» техники. Как пишет издание MacRumors, хакеры удалили все упоминания об этом взломе из своего блога в даркнете.

Ранее злоумышленники потребовали от Quanta Computer до 27 апреля заплатить им выкуп в размере $50 млн. В противном случае украденные документы, описывающие новые разработки компании Apple, хакеры грозились опубликовать в открытом доступе. Как сообщало издание BleepingComputer, компания Quanta Computer не стала отвечать на угрозы.

«Команда по информационной безопасности Quanta Computer провела консультации с внешними экспертами в IT-безопасности на фоне случившейся кибератаки на некоторые серверы Quanta», — заявил представитель компании в разговоре с ресурсом BleepingComputer, состоявшимся на прошлой неделе.

Хакеры решили направить свои угрозы и требования денег в Apple. Для создания давления на компанию они опубликовали несколько схем, относящихся к некоторым будущим продуктам Apple, включая новое поколение ноутбуков MacBook. Преступники сообщили, что собираются ежедневно до 1 мая публиковать по одному новому документу, если Apple не заплатит им $50 млн. Чем всё закончилось — неизвестно. Однако несмотря на угрозы, хакеры больше не выкладывали украденные схемы и чертежи.

Как пишет ресурс MacRumors, хакерская группировка REvil обычно всегда выполняла свои угрозы и публиковала украденные данные, если жертва взлома отказывалась платить. Возможно, Apple решила заплатить. Сама компания никак не прокомментировала ситуацию.

Единственный производитель стеклянных пластин для жёстких дисков стал жертвой хакерской атаки

Как сообщают источники, японская компания Hoya атакована вымогателями. Хакерской группировкой Astro Team украдены данные объёмом 300 Гбайт. Под ударом вымогателей оказалась фактически единственная компания, которая производит стеклянные пластины для жёстких дисков. Эта продукция считается наиболее перспективной для производства жёстких дисков объёмом свыше 20 Тбайт.

Макеты жёстких дисков с 10 и 12 стеклянными пластинами. Источник изображения: Hoya

Макеты жёстких дисков с 10 и 12 стеклянными пластинами. Источник изображения: Hoya

«Мы можем подтвердить, что компания Hoya Vision Care US подверглась кибератаке. Судя по нашей первоначальной криминалистической экспертизе, нарушения, похоже, были ограничены нашими системами в Соединенных Штатах, — сказал представитель Hoya. — После выявления угрозы мы быстро приняли меры по ее локализации и связались с правоохранительными органами. Компания привлекла внешних экспертов для определения характера и масштабов этого инцидента. Мы будем предоставлять обновления по мере поступления дополнительной информации».

Аналогичная атака на компьютеры Hoya в 2019 году привела к закрытию заводов на трое суток. Нынешняя волна атак вымогателей связана, по всей видимости, с уязвимостями в Microsoft Exchange, которые в заметной степени устранены ещё не везде и не у всех. По данным аналитиков компании Emsisoft, в прошлом году по всему миру похитили и разместили в интернете данные более чем 1300 организаций государственного и частного секторов и, вероятно, это далеко не полный набор пострадавших.

Согласно отчету компании Hoya за 2020 год, выручка от производства стеклянных пластин для жёстких дисков принесла ей 35 % от совокупного дохода, а остальные 65 % — это доход от продаж контактных линз и очков. Хакерская группа Astro Team, по собственному заявлению, украла у компании конфиденциальную корпоративную информацию, включая финансовую, производственную, сообщения электронной почты, пароли и, в качестве «вишенки на торте», — отчеты о безопасности.

Тысячи серверов Microsoft Exchange остаются уязвимыми даже после выпуска исправлений

Американское Агентство по кибербезопасности и защите инфраструктуры (CISA) бьёт тревогу. После обнаруженной почти три недели назад и закрытой компанией Microsoft уязвимости серверов под управлением Microsoft Exchange уязвимыми остаются свыше 10 тыс. серверов. Более того, установка патчей неспособна вычистить систему от присутствия злоумышленников в локальных сетях серверов, а компании по обслуживанию сетей не спешат с этим разбираться.

В понедельник исполняющий обязанности директора Агентства по кибербезопасности и защите инфраструктуры США Брэндон Уэльс (Brandon Wales) заявил, что тысячи серверов Microsoft Exchange по-прежнему скомпрометированы хакерами даже после применения исправлений Microsoft. За последнюю неделю устранены уязвимости на 45 % подверженных ей серверов, но уязвимыми остаются свыше 10 тыс. систем, тогда как на момент сообщения о взломе по всему миру было поражено 120 тыс. серверов под управлением Microsoft Exchange.

Ранее компания Microsoft также предупреждала, что установка патчей не является гарантией того, что хакеры потеряют доступ к скомпрометированным серверам. Такие серверы даже после исправления остаются «стартовыми площадками» для запуска тех же программ-вымогателей, которые шифруют данные пользователей и требуют выкупа за расшифровку. Сообщений о таких атаках внутри взломанных сетей пока мало, но они есть, поэтому поставщики услуг должны принять дополнительные меры для «изгнания» злоумышленников.

Из сказанного можно сделать вывод, что уровни компетенции и ответственности быстро деградируют. Ничем хорошим это не закончится.

Компания Acer подверглась атаке, хакеры требуют выкуп в размере $50 млн

Компания Acer подверглась хакерской атаке группировки REvil, которая подселила на серверы компании одноимённый вирус-вымогатель и требует от известного тайваньского производителя лэптопов, десктопов и мониторов выкуп в размере $50 млн. В качестве доказательств хакеры предоставили часть списка данных, к которым они получили доступ. В него входят финансовые ведомости, банковские кредитные счета, другие финансовые документы, а также информация о сотрудниках.

Как пишет ресурс BleepingComputer, в разговоре с журналистами представитель компании не стал прямо отвечать на вопрос о том, действительно ли они подверглись атаке REvil. Он лишь отметил, что они «сообщили о нештатных ситуациях» в соответствующие правоохранительные органы.

Скриншот одного из финансовых документов Acer, оказавшегося в руках хакеров REvil

Скриншот одного из финансовых документов Acer, оказавшегося в руках хакеров REvil

Полное заявление сотрудника Acer выглядит следующим образом:

«Acer регулярно проводит мониторинг своих IT-систем и от большинства кибератак компания хорошо защищена. Такие компании как наша довольно часто подвергаются хакерским атакам. Мы сообщили о недавно наблюдавшихся нештатных ситуациях в правоохранительные органы, а также органы по надзору за соблюдением законодательства о защите персональных данных в нескольких странах. Мы постоянно совершенствуем свою инфраструктуру кибербезопасности для защиты бизнеса и целостности нашей информации. Мы настоятельно рекомендуем всем компаниям и организациям не пренебрегать кибербезопасностью и быть бдительными в отношении любых нарушений сетевой активности».

На просьбу предоставить больше деталей представитель Acer ответил, что «в настоящий момент идёт расследование и в целях безопасности компания не может пока более детально комментировать ситуацию».

Французскому изданию LegMagIT удалось обнаружить послание хакеров REvil компании Acer. В нём они требуют выплатить $50 млн до 28 марта. За это хакеры предоставят Acer декриптор для расшифровки зашифрованных файлов. Если компания не заплатит до указанной даты, то цена выкупа удвоится.

Послание с требованиями хакеров REvil компании Acer

Послание с требованиями хакеров REvil компании Acer

Ресурсу BleepingComputer удалось выяснить, что один из представителей Acer провёл встречу с представителем хакерской группировки REvil 14 марта. Сумма выкупа его мягко сказать озадачила. В ходе того же разговора представитель REvil поделился ссылкой на сайт, на котором указывался список документов, к которому хакеры получили доступ. Помимо этого, киберпреступники предложили Acer снизить на 20 % сумму выкупа, если компания заплатит им до минувшей среды. Вместе с декриптором для расшифровки файлов злоумышленники пообещали удалить украденные файлы, а также предоставить отчёт об уязвимости, через которую они взломали сервера Acer. Для убедительности представитель REvil пригрозил «не повторять судьбу SolarWind».

Требование выкупа в размере $50 млн является самым крупным из известных, отмечает BleepingComputer. В прошлом с требованием самого крупного выкупа в $30 млн столкнулась гонконгская розничная компания Dairy Farm, сервера которой также были взломаны хакерской группировкой REvil.

По словам Виталия Кремеза (Vitali Kremez), главы компании Advanced Intelligence, занимающейся вопросами кибербезопасности, их платформа Andariel обнаружила, что недавней целью хакеров REvil стала платформа Microsoft Exchange Server, расположенная в домене, принадлежащем Acer.

«Система Andariel компании Advanced Intelligence обнаружила, что одна конкретная группа хакеров, связанная с REvil, недавно пыталась заразить Microsoft Exchange Server компании Acer», — поделился Кремез в разговоре с BleepingComputer.

Лог взлома, обнаруженный платформой Andariel

Лог взлома, обнаруженный платформой Andariel

Источник указывает, что уязвимость ProxyLogon в Microsoft Exchange Server ранее уже использовалась хакерами для подселения вируса-вымогателя DearCry. Однако тогда масштаб взлома был гораздо меньше.

Canon подтвердила августовский взлом своих серверов. Хакеры украли данные сотрудников

В августе этого года мы сообщали, что несколько десятков онлайн-сервисов компании Canon были взломаны группой хакеров, которые украли якобы порядка 10 Тбайт различной информации и потребовали за неё выкуп. На то время сама Canon не стала подтверждать взлом своих серверов, но сообщила, что занимается расследованием произошедшего инцидента. Спустя три месяца Canon всё-таки созналась, что пережила хакерскую атаку, а также рассказала о том, какая информация была украдена.

По данным ресурса Canon Watch, который первым обратил внимание на официальное заявление компании Canon, в период с 20 июля по 6 августа 2020 года злоумышленники могли получить информацию о текущих и бывших сотрудниках компании, работающих и работавших в американском офисе Canon, а также в его дочерних подразделениях в период с 2005-го по 2020-й годы.

Поясняется, что информация содержит данные о представителях и официальных сотрудниках компании, включая их номера социального страхования, данные водительских удостоверений, паспортные данные, данные о лицевых счетах для выплаты заработной платы, а также данные электронной подписи.

Canon заявила, что незамедлительно занялась случившимся инцидентом, обратившись за помощью в компанию, занимающуюся вопросами кибербезопасности, а также связалась с органами правопорядка, чтобы те предоставили помощь в проведении расследования.

Для оказания помощи тем, чья информация была похищена во время хакерской атаки, Canon также предлагает бесплатную подписку службы кредитного мониторинга, с помощью которой можно будет обнаружить «возможное неправомерное использование личной информации человека и предоставить ему услуги по защите персональных данных».

Крупнейший в США продавец книг Barnes & Noble скрывал взлом и утечку данных пользователей

В минувшую субботу 10 октября была взломана сетевая защита крупнейшего в США продавца бумажных и электронных книг компании Barnes & Noble. Частично работа онлайн служб магазина начала восстанавливаться со среды. Всё это время в Barnes & Noble скрывали, что облако и службы компании взломаны, и заверяли, что данные пользователей в полной безопасности. Боязнь уронить репутацию оказалась важнее личных данных клиентов. Интересно, это сойдёт им с рук?

Ис точник изображения KAREN BLEIER via Getty Images

Источник изображения KAREN BLEIER via Getty Images

В воскресенье пользователи сервисов Barnes & Noble и покупатели начали отмечать, что не могут загрузить на свои устройства (книги Nook, смартфоны под управлением Android, и компьютеры под управлением Windows) приобретённые цифровые копии книг. Если книга была куплена раньше или сейчас, но пока оставалась не загруженной, попытка скачать её выдавала ошибку. В других случаях доступ к сервисам и вовсе отсутствовал или информация выводилась не полной или ошибочной, например, показывались пустые обложки книг. Было ясно, с Barnes & Noble что что-то не так.

Дня через три после возникновения проблем Barnes & Noble уведомила, в частности наших коллег с The Register, что у неё «проблема с сетью, и сейчас идёт процесс восстановления резервных копий сервера». Только в среду компания призналась, что подверглась хакерской атаке, и часть незашифрованных пользовательских данных клиентов была «возможно» похищена.

Судя по всему, речь идёт о зловреде-вымогателе, раз сотрудникам компании пришлось восстанавливать данные из резервных копий. В то же время в Barnes & Noble утверждают, что данные о кредитных картах и платёжные реквизиты клиентов не были похищены, поскольку зашифрованы и доступ к ним осуществляется только с токенами. Утечке могли подвергнуться только адреса электронной почты клиентов, адреса доставки и платёжные адреса (как правило, это адреса проживания). Также утекли данные о покупках пользователей — книгах и гаджетах.

Ридер Nook Glowlight Plus

Ридер Nook Glowlight Plus

Интересно, что ранее компания Barnes & Noble была предупреждена специалистами по безопасности из компании Bad Packets, что множество её серверов Pulse VPN содержат уязвимость CVE-2019-11510. Это популярная среди вымогателей уязвимость, поскольку даёт возможность получать учетные данные, хранящиеся на VPN-устройстве. Судя по всему, предупреждение было проигнорировано. Результат перед нами.

Новый Android-вымогатель выдаёт себя за МВД и угрожает 242-й статьёй УК РФ

Стало известно о появлении нового продвинутого вымогателя, который начал использоваться злоумышленниками для атак на пользователей Android-устройств. Речь идёт о вредоносе AndroidOS/MalLocker, об обнаружении которого заявили специалисты из Microsoft.

Изображение: extremetech.com

Изображение: extremetech.com

В сообщении отмечается, что вредонос успешно обходит многие доступные обычным пользователям средства защиты. MalLocker распространяется через сторонние веб-сайты и онлайн-форумы с использованием разных приёмов социальной инженерии, включая маскировку под популярные приложения и взломанные игры.

Как и большинство программ-вымогателей для платформы Android, упомянутый вредонос не осуществляет реальное шифрование файлов. Вместо этого он захватывает экран и выводит сообщение с требованием выкупа поверх всех остальных окон, не позволяя жертве совершать какие-либо действия с устройством.

Примечательно, что после блокировки экрана пользователю демонстрируется сообщение с таймером обратного отсчёта, автором которого якобы является МВД России. В нём говорится о том, что устройство заблокировано правоохранительными органами из-за того, что пользователь неоднократно посещал сайты с детской порнографией, и теперь должен выплатить штраф. В противном случае вымогатель угрожает жертве уголовной ответственностью.

Хорошая новость в том, что решить проблемы, которые может принести этот вымогатель, достаточно просто. Поскольку файлы на устройстве не шифруются, для избавления от назойливого сообщения достаточно удалить вредоносное приложение. Сам MalLocker не имеет root-доступа или каких-то специальных системных разрешений, а значит, его можно удалить в безопасном режиме через ADB. Очевидно, что создатели вымогателя делают ставку на то, что многим пользователям это неизвестно.

Поскольку анализ MalLocker достаточно легко выявляет его вредоносную направленность, проникнуть в официальный магазин контента Play Маркет ему не удастся, по крайней мере в нынешнем виде. Чтобы избежать проблем, которые могут возникнуть из-за Android-вымогателей, специалисты рекомендуют не скачивать приложения из сторонних магазинов, форумов и других подозрительных ресурсов.

Хакерская атака впервые убила человека: заражение серверов немецкой больницы привело к гибели пациентки

Власти Германии заявили о том, что атака программ-вымогателей на IT-системы больницы в Дюссельдорфе могла стать причиной смерти одной из пациенток. Этот случай может являться первым в истории, когда атака хакеров стала непосредственной причиной смерти человека.

Согласно имеющимся данным, хакеры планировали атаковать Университет Генриха Гейне, но в результате ошибки из строя были выведены IT-системы дочерней университетской клиники в Дюссельдорфе. В результате атаки программ-вымогателей были зашифрованы данные, хранящиеся на 30 серверах больницы, причём на одном из них вредонос выводил сообщение, адресованное университету.

Из-за того, что IT-системы клиники пришли в неработоспособное состояние, данные о пациентах оказались недоступны врачам. В результате они были вынуждены отложить сложную операцию, а пациентку отправили в другую больницу, находящуюся на расстоянии 32 км, из-за чего она не смогла своевременно получить потенциально важную для сохранения жизни медицинскую помощь.

Полиция Дюссельдорфа смогла связаться с хакерами и сообщила им о том, что они атаковали больницу. В ответ на это хакеры предоставили ключ для расшифровки данных, но после этого на связь не выходили. Полиция начала расследование по подозрению в непредумышленном убийстве по неосторожности. Если в ходе расследования будет доказано, что женщина могла выжить, если бы ей своевременно была оказана медицинская помощь, то дело будет рассматриваться как убийство. Кроме этого, выход из строя IT-систем заставил врачей перенести множество других процедур и перенаправить часть пациентов в другие клиники.  

Стоит сказать о том, что специалисты в области информационной безопасности давно говорят о том, что больницы и другие медицинские учреждения подвержены риску кибератак, поскольку всё больше оборудования подключено к сети Интернет. Такие атаки могут привести к приостановке работы учреждений, что повлечёт за собой самые неприятные последствия для пациентов.

Canon взломан: серверы лежат, информация украдена, хакеры требуют денег

По данным интернет-издания BleepingComputer, онлайн-сервисы компании Canon подверглись мощной хакерской атаке. В настоящий момент не работают более двух десятков американских сайтов производителя фото и видеоаппаратуры, а также почтовые сервисы, внутренние корпоративные платформы и многие другие приложения. Кроме того, как указывает источник, хакеры предположительно похитили 10 Тбайт данных, включающих личную информацию.

Источник сообщает, что атака предположительно началась ещё 30 июля, с сайта image.canon (облачного сервиса Canon, позволяющего хранить фотографии и видео), когда стали наблюдаться проблемы в его работе, а затем он и вовсе отключился.  В течение нескольких дней сервис был недоступен. С 4 августа Canon его снова запустила. Однако на главной странице сайта о хакерской атаке ничего не сообщается. Кроме того, в сообщении указывается, что с доступом к 10 Тбайт архивной информации, сохранённой до 16 июня, наблюдались проблемы, в результате которых эти данные были потеряны. В то же время Canon заверяет, что никаких утечек данных не происходило. И вообще все проблемы они решили.

BleepingComputer решили копнуть глубже и выяснили, что проблемы были (и остаются) не только с облачным сервисом Canon. Под атакой оказалось несколько десятков других онлайн-ресурсов компании. В распоряжение журналистов попало изображение сообщения из сервисного отдела Canon, в котором указывается о массовых системных неполадках в работе множества платформ, а также проблемах с доступом к различным ресурсам, включая почту и канал для связи на платформе Microsoft Teams.

Проверка показала, что в настоящий момент не работает ни один из более 20 представленных ниже сайтов компании. При входе на них пользователя встречает «заглушка», сообщающая о том, что ресурс находится на техническом обслуживании.

Позже выяснилось, что атака была произведена хакерской группировкой Maze, стоящей за созданием вируса-вымогателя Maze Ransomware. Журналистам удалось выйти на её представителей. Те опровергли информацию о том, что первоначальная атака на сайт image.canon была произведена ими, однако подтвердили, что стоят за взломом более 20 различных сервисов Canon. Ресурсу удалось получить в своё распоряжение часть скриншота с посланием хакеров для Canon, в котором они указывают, что получили доступ к «10 Тбайт данных, частных баз данных и прочей информации», хранящейся на серверах онлайн-сервисов Canon. Каким-либо образом подтвердить свои слова хакеры отказались. 

В своём послании хакеры Maze также сообщают, что зашифровали украденные данные и их резервные копии. Canon сможет получить декриптор и доступ к данным только в том случае, если решит заплатить за это. Кроме того, после оплаты хакеры обязуются удалить все данные со своих носителей. Подробности сделки не указываются, но злоумышленники готовы их предоставить через собственную площадку в даркнете. Судя по всему, ниже в послании идёт инструкция о том, как это сделать, но скриншот дальше обрывается. Если Canon не пойдёт на предложенные условия, Maze угрожают опубликовать все данные компании в открытом доступе на своём сайте.

Ресурс BleepingComputer обратился за комментариями в Canon, но там пока молчат. Как указывает источник, ранее жертвами хакеров Maze и их вируса-вымогателя Maze Ransomware стали многие компании, включая LG, Xerox, Conduent, MaxLinear, Cognizant, Chubb, VT San Antonio Aerospace и другие.

Кибератака вынудила Honda приостановить на день производство по всему миру

Honda Motor сообщила во вторник о приостановке производства некоторых моделей автомобилей и мотоциклов по всему миру в связи с кибератакой, произошедшей в понедельник.

REUTERS/Jonathan Ernst

REUTERS/Jonathan Ernst

По словам представителя автопроизводителя, хакерская атака затронула Honda в глобальном масштабе, вынудив компанию прекратить работы некоторых заводов из-за отсутствия гарантии полноценной работы систем контроля качества после вмешательства хакеров. Хакерская атака повлияла на работу электронной почты и других систем на заводах по всему миру, так что компании пришлось отправить немало сотрудников домой.

Как утверждает представитель Honda, целью вируса-вымогателя был один из внутренних серверов компании. Он добавил, что вирус распространился по всей сети, но не стал вдаваться в подробности.

По данным Financial Times, на данный момент работа большей части заводов компании была возобновлена, но автомобильные заводы Honda в Огайо и Турции и мотоциклетные заводы в Бразилии и Индии, как сообщается, по-прежнему остаются закрытыми.

Компания настаивает на том, что её данные не были похищены, и что хакерская атака оказала минимальное влияние на её бизнес. У Honda имеется по всему миру более чем 400 филиалов, где работает около 220 тыс. человек.

window-new
Soft
Hard
Тренды 🔥
Google сократила команду разработки медицинских продуктов и перевела часть сотрудников в Fitbit 3 ч.
Facebook запустила рекламу в своём сервисе коротких видео Instagram Reels 3 ч.
Nutanix Era прописалась в HPE GreenLake 4 ч.
Госдума приняла закон о внесудебной блокировке мошеннических сайтов 6 ч.
«Яндекс» запустил «Балабоба» — сервис, который способен дописать любой текст с помощью ИИ 7 ч.
A Plague Tale: Innocence появится на консолях нового поколения и Switch в начале июля 8 ч.
Видео: разработчики S.T.A.L.K.E.R. 2 разобрали недавний трейлер и раскрыли несколько малозаметных деталей 8 ч.
Senua’s Saga: Hellblade II до сих пор не вышла из препродакшена, но амбиций разработчикам не занимать 8 ч.
Агент KAY/O, бесплатный праздничный пропуск и благотворительный набор: Riot поделилась подробностями обновления 3.00 для Valorant 9 ч.
Украинская киберполиция арестовала хакеров, распространявших вирус-вымогатель Clop 10 ч.