Хакеры, стоящие за вирусом-вымогателем Ragnar Locker, опубликовали в Сети украденные у компании ADATA файлы общим объёмом около 700 Гбайт. Всего доступно 13 архивов, в которых, предположительно, содержится конфиденциальная информация тайваньского производителя оперативной памяти, твердотельных накопителей и других устройств.

В минувшее воскресенье хакеры разместили украденные файлы на файлообменнике MEGA и отметили, что доступ к ним скоро может быть закрыт. Злоумышленники не ошиблись, поскольку сервис вскоре действительно заблокировал все размещённые ссылки.

По данным портала BleepingComputer, в списке содержались архивы разного объёма, от 1 до почти 300 Гбайт. По названию файлов сложно определить, что в них может находиться, особенно в случае с Archive#1 и Archive#2. Исходя из названий других файлов, злоумышленники опубликовали финансовую информацию ADATA, договоры о неразглашении информации (NDA) и прочие сведения о тайваньском производителе.

Публикация файлов подтверждает то, что ADATA отказалась платить хакерам выкуп за возврат украденных данных, и самостоятельно восстановила защиту в своей системе безопасности.

По словам представителя хакерской группировки Ragnar Locker, перед тем, как зашифровать доступ к размещённой на сервере ADATA информации, они похитили в общей сложности 1,5 Тбайт данных. Хакеры не торопились, поскольку у ADATA оказалась очень слабая защита безопасности корпоративной сети. Насколько это заявление соответствует действительности — пока неизвестно.

«В общем, как обычно, мы предложили им сотрудничество и помощь в закрытии дыр, а также в восстановлении информации, конечно же, пообещав не публиковать в открытом доступе информацию, к которой мы получили доступ. Как оказалось, они не сильно ценят свою информацию, а также личные данные своих партнёров, клиентов, сотрудников и покупателей», — отметил представитель Ragnar Locker.

Следует отметить, что хакеры уже второй раз публикуют украденную у ADATA информацию. Ранее они выложили в Сеть четыре небольших архива общим объёмом менее 250 Мбайт. Что любопытно, их по-прежнему можно скачать с файлообменника.

Департамент киберполиции Национальной полиции Украины сообщил в среду о серии рейдов, проведённых в Киеве и Киевской области, которые закончились арестом шести человек, предположительно входящих в группу по распространению вируса-вымогателя Clop.

Рейды прошли в рамках международной операции, осуществляемой при содействии и координации Интерпола (IGCI) совместно с работниками правоохранительных органов Республики Корея и США. В результате обысков, проведённых в 21 доме, были изъяты десятки компьютеров и дорогие автомобили в дополнение к примерно $185 тысячам. На имущество подозреваемых наложен арест.

Сообщается, что совместными усилиями правоохранителей удалось прекратить работу инфраструктуры, с которой осуществляется распространение вируса Clop, и заблокировать каналы легализации криптовалюты, полученной преступным путём.

Среди жертв хакерской группировки значатся компании Shell и Kroger, Стэнфордский университет, Мэрилендский университет и Университет Колорадо, Резервный банк Новой Зеландии и компания по кибербезопасности Qualys. Украинская полиция сообщила, что общий ущерб, нанесённый атаками преступников, оценивается в $500 млн.

В 2019 году группировка провела атаку с использованием программ-вымогателей против четырёх южнокорейских компаний, в результате чего было заражено вирусом более 800 серверов и компьютеров. В ноябре прошлого года группа также атаковала южнокорейского гиганта электронной коммерции E-Land, выведя из строя её компьютерную сеть на несколько дней. Хакерская группа также известна тем, что предпочитает атаковать сети компаний, использующих устаревший файлообменный сервис Accellion FTA (File Transfer Application). Таким, например, оказался канадский производитель самолётов и космической техники Bombardier.

В свою очередь, компания по кибербезопасности Intel 471 сообщила ресурсу BleepingComputer, что украинские власти арестовали лишь людей, причастных к отмыванию денег для группировки Clop, а основные участники группировки, скорее всего, находятся в России. «Мы не думаем, что какие-либо ключевые участники CLOP были задержаны, и мы полагаем, что они, вероятно, живут в России», — заявили в Intel 471.

Концерн Volkswagen столкнулся с утечкой данных своих клиентов из США и Канады. Злоумышленники получили доступ к контактной информации более 3 миллионов клиентов, а в некоторых случаях произошла также утечка личных данных, таких как номера водительских удостоверений.

wired.com

VW обратилась к 90 тысячам человек в США, конфиденциальная информация которых была украдена в результате взлома. В большинстве случаев это были номера водительских удостоверений, а также номера социального страхования, даты рождения и номера аккаунтов VW или Audi. Согласно заявлению автопроизводителя, были затронуты и те люди, которые просто интересовались покупкой авто.

wired.com

Данные были украдены у внешнего подрядчика, услугами которого пользуется VW и некоторые дилеры, продающие автомобили компании. Сообщается, что они были собраны в период с 2014 по 2019 годы  и сохранены для маркетинговых целей. VW извинилась перед своими клиентами и посоветовала им быть бдительными в отношении подозрительных сообщений, в которых от них могут попытаться узнать личные данные или информацию об автомобиле.

Порталу Motherboard удалось выяснить детали проникновения группы хакеров в закрытую корпоративную сеть Electronic Arts, из которой они похитили 780 Гбайт информации. Как оказалось, злоумышленники обманули внутреннюю техническую поддержку компании.

Источник изображения: Eurogamer

Представитель хакеров в разговоре с журналистами Motherboard сообщил, что взлом начался с покупки украденных файлов cookie за $10. Эти файлы позволили им получить доступ к закрытому корпоративному каналу Electronic Arts в мессенджере Slack. В файлах cookie могут сохраняться данные логина конкретных пользователей. Злоумышленники могут использовать эти данные для авторизации в сервисе, притворившись человеком, который имеет к нему доступ. В случае канала Electronic Arts в мессенджере Slack так и произошло.  

«Попав в чат, мы написали членам IT-поддержки [EA] и объяснили, что “потеряли” телефон на прошлой вечеринке», — сказал представитель хакеров порталу Motherboard.

Хакеры попросили у поддержки токен для мультифакторной аутентификации, чтобы получить доступ к корпоративной сети Electronic Arts. По словам злоумышленников, затея оказалась успешной два раза. Попав во внутреннюю сеть, хакеры нашли сервис разработчиков EA для компиляции игр. Они успешно авторизовались в нём, а затем создали виртуальную машину, которая открыла для них более подробную информацию о структуре внутренней сети EA, а также предоставила доступ к ещё одному сервису. Через него взломщики и украли исходный код движка Frostbite, FIFA 21, а также прочие файлы общим объёмом более 780 Гбайт.

Представитель группы хакеров предоставил Motherboard скриншоты, на которых показаны все шаги взлома, включая их общение с IT-поддержкой EA в мессенджере Slack. Electronic Arts, в свою очередь, подтвердила описанную версию проникновения в их закрытую сеть.

Ранее в официальном заявлении EA указала, что расследует инцидент с проникновением в свою внутреннюю сеть, из которой был похищен ограниченный объём исходного кода и инструментов для работы с ним. Тогда же компания отметила, что личные данные игроков не были похищены. После инцидента безопасность сети была усилена. В издательстве считают, что произошедший случай не окажет негативного влияния на его игры или бизнес. Компания обратилась в правоохранительные органы и к сторонним экспертам по безопасности для проведения расследования.

Представитель хакеров также поделился с Motherboard некоторыми украденными документами. В них содержатся различные материалы о PlayStation VR, данные о том, как EA создаёт цифровые толпы в FIFA, а также информация о работе искусственного интеллекта в играх компании.

Хакерам удалось взломать более трёх миллионов компьютеров и похитить персональные данные и информацию о платежах 26 млн аккаунтов различных сайтов, включая Amazon, Apple, Facebook и многих других.

applelianos.com

Специалистам NordLocker, разработчика одноимённого софта для шифрования файлов, удалось получить доступ к базе данных, собранных хакерами. Сообщается, что с помощью неопознанного вредоносного программного обеспечения (троянца) для Windows похищали информацию в течение двух лет с 2018 по 2020 год. В общей сложности было собрано около 1,2 Тбайт личных данных c 3,25 млн компьютеров.

Хакеры похитили информацию о 26 млн аккаунтах, а также финансовые данные. Также сообщается, что было собрано 2 млрд файлов cookies и 6,6 млн других файлов. Вредоносный софт позволял хакерам подключиться к веб-камерам жертв, а также делать скриншоты, когда те вводили личную информацию при входе в свой аккаунт на каком-либо сайте.

Интересно, что эта новость появилась на фоне сообщений о всплеске хакерских атак, затронувших крупные американские компании. В результате одной из них была нарушена работа ключевого трубопровода на Восточном побережье США, что привело к дефициту бензина на заправочных станциях. Также пострадал крупный поставщик мяса.

Что касается обнаруженной NordLocker огромной базы украденных данных, компания заявила: «Мы хотим прояснить ситуацию: мы не покупали эту базу данных и не будем попустительствовать другим сторонам, делающим это. Группа хакеров случайно раскрыла местонахождение базы данных».

Ранее в этом году хакеры из группировки DarkSide атаковали американского оператора нефтепровода Colonial Pipeline с помощью программ-вымогателей и получили выкуп в размере 75 биткоинов (около $5 млн). На этой неделе стало известно, что ФБР удалось не только отследить перемещения цифровых активов хакерами, но и получить доступ к их биткоин-кошельку. Эта новость фактически подрывает утверждение, согласно которому криптовалюта является анонимным финансовым инструментом хакеров.

Изображение: Budrul Chukrut / Getty Images

После того, как 8 мая Colonial Pipeline выплатила хакерам за разблокировку внутренних IT-систем 75 биткоинов, за дело взялись сотрудники ФБР, которые в течение 19 следующих дней отслеживали в публичном реестре перемещения цифровых активов. Чтобы запутать следы хакеры переводили биткоины на разные криптовалютные кошельки. Однако ФБР смогло отследить операции по перемещению около 64 биткоинов на один кошелёк, а также получить приватный ключ для доступа к цифровым активам. Каким образом удалось это делать, не уточняется.

Ранее на этой неделе Министерство юстиции США объявило об успешном возвращении части выплаченных Colonial биткоинов. В сообщении говорилось, что сумма возвращённых средств составила около $2,3 млн. Это означает, что правоохранители сумели вернуть примерно 64 биткоина. Значительно меньшая сумма, чем та, что была выплачена хакерам, обусловлена тем, что за последний месяц курс самой популярной криптовалюты мира значительно снизился.

Эксперты, работающие в сфере информационной безопасности, считают, что данная операция ФБР наглядно демонстрирует растущий технический потенциал, позволяющий правоохранителям разрушать финансовую инфраструктуру киберпреступников, которые используют программы-вымогатели. Криптовалюта давно получила репутацию трудно отслеживаемого финансового инструмента, который активно используют для проведения незаконных операций. По мнению некоторых экспертов, в ряде случаев отслеживать перемещения криптовалюты даже проще, чем следить за движением американских долларов.

Очевидно, что успеху операции способствовало то, что Colonial оперативно передала ФБР адрес, куда был осуществлён перевод выкупа хакерам. Через несколько дней после этого DarkSide объявила, что серверы и другая инфраструктура хакеров была захвачена, но не уточнила где и кем. Предполагается, что приватный ключ для доступа к биткоин-кошельку группировки мог находиться среди частей инфраструктуры, которые попали в руки ФБР.

Специалисты по кибербезопасности из Sentinel Labs обнаружили «китайский след» в атаках на российские государственные системы. Об этом пишет «Коммерсантъ» со ссылкой на отчёт американской компании. Речь идёт о целой серии атак, совершённых в 2020 году. Цели и задачи злоумышленников не раскрываются.

Источник: Hacker Combat

Аналитики провели расследование на базе отчёта центра противодействия кибератакам «Ростелеком-Солар». В докладе сообщалось, что неизвестная профессиональная кибергруппировка провела серию атак на федеральные органы исполнительной власти с использованием фишинга, уязвимостей веб-приложений, а также путём взлома инфраструктуры подрядчиков. Авторы указали, что этим занимались наёмники, «преследующие интересы иностранного государства».

Для атаки злоумышленники использовали вредоносное программное обеспечение под названием Mail-O. Оно использовало для выгрузки данных облачные сервисы «Яндекса» и Mail.ru Group, маскируя свою работу под официальные сервисы.

Эксперты Sentinel Labs изучили алгоритм работы Mail-O и пришли к выводу, что его разработали китайские хакеры из группы ThunderCats (являются частью более крупной группировки TA428, которую связывают с Китаем). Предположительно, обнаруженное ПО является вариацией других программ — PhantomNet или SManager.

Представители «Ростелеком-Солар» отказались комментировать выводы Sentinel Labs. Эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо пояснил, что отчёт американских исследователей опирается на характерные черты взломщиков. Среди них  — неверное написание имени экспортируемой функции Entery и похожий код на точке входа в Windows. Он отметил, что такие индикаторы легко подделать, но не считает, что этот случай из подобных.

Напомним, что в 2015 году Россия и Китай подписали соглашение о сотрудничестве в сфере информационной безопасности. Оно обязывает стороны не совершать атаки друг против друга.

Неизвестные хакеры превратили учётные записи Steam в разносчиков вредоносного программного обеспечения. Злоумышленники спрятали загрузчики вредителей в изображениях профилей своих учётных записей. Уязвимость обнаружил пользователь Twitter с никнеймом Miltinhoc.

PortSwigger

Уязвимость назвали SteamHide. Как отметили аналитики G Data, игровой сервис фактически стал платформой для размещения вредоносных файлов. О таких способах распространения вредоносного ПО было известно и раньше, но никто ещё не использовал для этого игровые сервисы вроде Steam.

Для распространения вирусов злоумышленники использовали интернет-мемы, в частности «Гарольда, скрывающего боль». При этом, для заражения вредоносным софтом не обязательно даже иметь учётную запись или устанавливать Steam — достаточно всего лишь загрузить аватарку на своём ПК.

Источник: Twitter

Источник: Twitter

После активации, скрытая программа отключает все средства безопасности, а затем копирует себя в папку «LOCALAPPDATA». После сохранения она закрепляется в реестре системы. Исследователи уточнили, что вредоносное ПО скрывает в себе инструменты, которые не активируются сразу, но могут стать опасными в будущем. Сколько компьютеров поражено и как можно устранить уязвимость, не уточняется. Valve отказалась комментировать ситуацию.

Транснациональные корпорации придерживаются разных подходов при общении с хакерами-вымогателями. Если FujiFilm отказалась платить атаковавшим её серверы наотрез, то лидер мировой мясопереработки JBS оказался намного сговорчивее и щедрее.

wsj.com

Программные средства, использованные для взлома сети компании, до сих пор достоверно не идентифицированы. Атака на JBS стала лишь эпизодом из серии киберпреступлений, совершённых кибервымогателями в последние месяцы. И, если раньше целями злоумышленников в первую очередь становились базы данных, хранящие большие объёмы персональной информации — вроде маркетплейсов, страховых компаний и банков, то теперь преступники переключились на «реальный сектор» экономики, обеспечивающий население действительно необходимыми товарами и услугами, а также больницы, транспортную инфраструктуру и другие жизненно важные объекты и сервисы.

JBS USA Holdings Inc. заплатила $11 миллионов в Bitcoin — нарушение работы её сетей потенциально могло вызвать серьёзные проблемы у партнёрских ресторанов, магазинов и фермеров по всей территории Соединённых Штатов и за их пределами.

По словам представителя JBS, первая информация о сбоях в информационных системах поступила в воскресенье, после чего поступило и требование выкупа. Компания немедленно связалась с ФБР, приостановила работу многих систем для того, чтобы предотвратить дальнейшее распространение «инфекции» и наняла группы специалистов по кибербезопасности и переговорщиков для общения с вымогателями. Выкуп был заплачен уже после того, как была восстановлена работа большинства систем. «Было очень болезненно платить преступникам, но мы поступили наилучшим образом в интересах наших клиентов», — заявляют в компании. Считается, что финансовые и прочие данные партнёров не были скомпрометированы в ходе атаки.

ФБР выступает против любых платежей вымогателям, считая, что это будет способствовать росту числа подобных преступлений, а инструменты, предоставляемые после выкупа хакерами для дешифровки данных, часто просто не работают. Представители администрации президента США Джо Байдена (Joe Biden) уже сообщили, что намерены продвигать закон, запрещающий компаниям платить выкуп.

Стоит отметить, что сохранение работоспособности компьютерных систем является жизненно важным для многих крупных корпораций. Недавний взлом трубопроводного бизнеса Colonial Pipeline почти парализовал поставку энергоносителей в значительной части США, вызвал панику среди жителей, массово начавших скупать горючее и привёл к росту цен на топливо.

Команда разработчиков «Яндекса» объявила об увеличении денежного вознаграждения за поиск уязвимостей в своих продуктах и сервисах. Теперь энтузиасты и эксперты по безопасности за обнаружение «багов» в программных решениях компании могут получить до 750 тысяч рублей.

В «Яндексе» подчёркивают, что сумма премии варьируется в зависимости от серьёзности обнаруженной бреши. Выше всего оцениваются уязвимости, которые позволяют потенциальным злоумышленникам совершить так называемую инъекцию — то есть выполнить на сервере свой вредоносный код.

Ожидается, что инициатива «Яндекса» повысит качество программного кода софтверных решений компании и позволит наладить тесный диалог с независимыми специалистами в области информационной безопасности.

Впервые программа премирования за поиск уязвимостей «Охота за ошибками» была запущена «Яндексом» в сентябре 2012 года. За время её действия компания выплатила «этичным хакерам» свыше 30 млн рублей. Аналогичные программы премирования за информацию об особо опасных «дырах» действуют в Google, Mozilla, «Лаборатории Касперского», Microsoft, Facebook, Apple и других софтверных компаниях.

Подробнее об «Охоте за ошибками» и её условиях можно узнать на сайте yandex.ru/bugbounty.

Часть серверов компании ADATA подверглась атаке вируса-вымогателя в конце мая. Указывается, что заражённые системы были оперативно изолированы от корпоративной сети. Компания также обратилась в соответствующие правоохранительные органы, чтобы найти злоумышленников.

«ADATA подверглась атаке вируса-вымогателя 23 мая 2021 года», — рассказал представитель компании ADATA в разговоре с порталом  BleepingComputer. По его словам, сейчас работа затронутых систем полностью восстановлена и компания вышла на привычный уровень бизнес-операций.

«Мы успешно приостановили работу затронутых систем практически сразу после того, как обнаружили атаку. После этого мы предприняли все необходимые усилия для восстановления работы наших компьютеров, а также обновили системы IT-безопасности. К счастью, всё вернулось в нормальное русло. Бизнес-операции не прерываются поскольку принятые нами меры на случай подобных непредвиденных обстоятельств оказались эффективными», — добавил представитель ADATA.

Представитель компании не предоставил информацию о том, кто стоит за хакерской атакой, а также не сообщил никаких деталей, связанных с требованиями злоумышленников. Однако на минувших выходных ответственность за взлом взяла на себя хакерская группировка, стоящая за разработкой вируса-вымогателя Ragnar Locker. По их словам, перед размещением вредоноса они украли 1,5 Тбайт конфиденциальной информации из внутренней сети ADATA.

В качестве доказательства своих слов хакеры опубликовали скриншоты украденных файлов и папок. Злоумышленники угрожают опубликовать все данные, если ADATA не заплатит выкуп. Однако в самом сообщении хакеров не указана сумма выплаты. Если верить опубликованным скриншотам, в украденных файлах содержится различная бизнес-информация, конфиденциальные данные, схемы, финансовые отчёты, различные исходники, юридические документы, информация о сотрудниках, соглашения о неразглашении, а также различные рабочие папки.

Часть сообщения, оставленного хакерами в даркнете

Вирус-вымогатель Ragnar Locker впервые отметился в атаках в декабре 2019 года. На скомпрометированных компьютерах операторы Ragnar Locker отключают программы дистанционного управления (например, ConnectWise и Kaseya), которые используются для удалённого управления компьютерами внутри корпоративной сети. Это позволяет хакерам избежать обнаружения, а также убедиться в том, что удалённо вошедшие в систему авторизованные администраторы не заблокируют хакерам доступ пока они будут развёртывать вирус-вымогатель.

Федеральное бюро расследований США предупредило о повышении активности атак с использованием вируса-вымогателя Ragnar Locker после случая, произошедшего в апреле 2020 года, когда под ударом оказалась сеть транснационального холдинга Energias de Portugal (EDP), занимающегося генерацией, доставкой и сбытом электроэнергии, а также закупкой, доставкой и сбытом природного газа.

Как пишет BleepingComputer, чаще всего хакеры Ragnar Locker требуют от жертв от 200 до 600 тыс. долларов. Однако в случае с Energias de Portugal они потребовали выплатить им 1580 биткоинов, что на тот момент было эквивалентно более чем $10 млн.

Транснациональный конгломерат Fujifilm отказался идти на поводу у преступников и после кибератаки на свою информационную сеть отклонил требование заплатить выкуп. Вместо этого в компании полагаются на собственные резервные копии информации.

verdict.co.uk

По данным представителя Fujifilm, компьютерные системы в Европе, США, на Ближнем Востоке и в Африке уже «полностью функциональны и вернулись к выполнению обычных задач».

Несанкционированный доступ к своим серверам Fujifilm обнаружила 1 июня, а 4 июня подтвердила атаку вымогателей на «определённую сеть» в Японии и то, что отключены «все сети и серверные системы» на время оценки масштабов инцидента. Fujifilm отказалась сообщать о сумме, запрошенной вымогателями, заявив, что выкуп она всё равно платить не стала. Полностью работа сетей в Японии должна восстановиться на этой неделе.

По словам эксперта в области кибербезопасности Джейка Мура (Jake Moore) из компании ESET, отказ платить вымогателям — не то решение, которое легко принимается. Подобные преступники обычно угрожают выложить украденные данные в открытый доступ или продать их заинтересованным клиентам, если платежа не будет.

Тем не менее в европейском представительстве Fujifilm заявили, что не видят риска для европейских, ближневосточных и африканских систем и клиентов и не считают, что данные были скомпрометированы, повреждены или уничтожены.

threatpost.com

Предполагается, что Fujifilm атаковали с помощью трояна Qbot, а в атаке участвовала устойчивая группа хакеров Revil, по информации ФБР, причастная к недавней атаке на крупнейшего мясопереработчика JBS. Тем не менее в Fujifilm не обнаружили свидетельств причастности группы к атаке.

На прошлой неделе Министерство юстиции США присвоило атакам кибервымогателей тот же приоритет при расследовании, что присваивается при борьбе с террористами. По данным компании Cybersecurity Ventures к 2031 году глобальное воздействие киберпреступников на мировую экономику достигнет 256 миллиардов долларов. При этом эксперты не рекомендуют платить выкуп, поскольку нет гарантии того, что системы после этого будут восстановлены и украденные данные не будут проданы в любом случае.

«Часто говорят, что заплатить выкуп дешевле или быстрее. Но это подпитывает цикл вымогательства — даже если не говорить о том, что это аморально», — заявил Мур.

Группа неизвестных объявила о начале «войны» против основателя Tesla и SpaceX Илона Маска (Elon Musk) от лица группировки хакеров-активистов Anonymous. Бизнесмена назвали самовлюблённым богачом, обвинив во лжи и спекуляциях на криптовалюте. Об этом в опубликованном видеоролике заявил неизвестный в маске Гая Фокса (Guy Fawkes).

Би-би-си

Автор видео утверждает, что Маск не разделяет идеалы, которые публично защищает. Он упомянул, что Tesla отказалась принимать биткоины из-за неэкологичности криптовалюты, но сослался на статью Sunday Times, где говорится, что компания продолжает добывать литий, а это тоже загрязняет окружающую среду. Также он упоминает, что на производстве используется детский труд.

Противник бизнесмена считает, что тот страдает от комплекса превосходства, отметив, что тот когда-то себя называл «императором Марса». Автор также утверждает, что спекуляции Маска на криптовалютах наносят вред рабочему классу и его перспективам. После выхода видео Илон призвал в твиттере «не уничтожать то, что ненавидишь, а защищать то, что любишь».

Автор видеоролика неизвестен, но в Twitter-аккаунте Anonymous сообщается, что они непричастны к этой инициативе. Они предположили, что авторами видеоролика стала другая группа активистов, которые заимствовали название. Согласно описанию, последние специализируются на криптовалюте, «защищают от мошенничества и наказывают за проступки».

Движение Anonymous возникло в Сети в начале 2000-х. Это международная децентрализованная команда активистов, которая известна целым рядом взломов, затронувших движение Церкви Саентологии, а также ряд правительственных ведомств США, Турции, Израиля, Туниса, Уганды и других стран.

Японская FujiFilm, заработавшая в прошлом году 20 миллиардов долларов и имеющая более 37 000 сотрудников по всему миру, стала мишенью для киберпреступников. Компания заявила, что сеть её токийской штаб-квартиры подверглась атаке хакеров-вымогателей.

bleepingcomputer.com

Для того чтобы предотвратить распространение атак, компании пришлось отключить некоторые части своей сетевой инфраструктуры и начать расследование, связанное с деятельностью криминальных элементов.

«2 июня FujiFilm Corporation в Токио получила информацию о возможной атаке хакеров-вымогателей. По этой причине сегодня у нас имеются проблемы с сетью, оказывающие влияние на часть наших систем. Для некоторых структур это касается всех форм коммуникаций, включая электронную почту и входящие звонки, идущие через сети компании. Мы работаем для того, чтобы установить уровень и масштаб проблемы. Мы приносим искренние извинения нашим клиентам и бизнес-партнёрам за причинённые неудобства», — говорится в заявлении компании, опубликованном на сайте FujiFilm USA.

bleepingcomputer.com

Судя по информации, предоставленной защитной платформой Andariel, разработанной самой FujiFilm, системы корпорации инфицированы вредоносным программным обеспечением Qbot. По имеющимся данным, группа, стоящая за созданием Qbot, в настоящее время работает с сообществом хакеров REvil. Известно, что троян Qbot имеет долгую историю использования для взлома сетевого ПО с целью дальнейшего вымогательства и обеспечивает удалённый доступ к скомпрометированным сетям.

Ранее с командой Qbot сотрудничали вымогатели групп ProLock и Egregor, после предполагаемого окончания их деятельности на использование соответствующего ботнета перешла группа REvil.

Хотя программы-вымогатели активно используются как минимум с 2012 года, всеобщего внимания они удостоились после атаки на информационные сети американской трубопроводной компании Colonial Pipeline и крупнейшего в мире переработчика мяса JBS.

Американское правительство создало специальную группу по борьбе с кибервымогательством и подняла приоритет расследований подобных преступлений до уровня дел, связанных с террористической активностью.

Федеральное бюро расследований США назвало хакерскую группу, стоящую за атакой на серверы крупнейшего в мире переработчика мяса JBS Global. По мнению американской спецслужбы, кибератаку организовала группа хакеров REvil, также известная как Sodinokibi.

finance.yahoo.com

«Мы приписали атаку JBS группам REvil и Sodinokibi и прилагаем все усилия, чтобы привлечь виновных к ответственности, — сообщило Федеральное бюро расследований США. — Кибератака на одного — это атака на всех нас. Мы призываем любую организацию, ставшую жертвой кибератаки, немедленно уведомить ФБР через одно из 56 наших отделений».

Некоторые эксперты считают, что данная группа базируется в России, хотя никаких доказательств этому нет. По другим данным REvil является ответвлением ныне прекратившей своё существование хакерской группы GandCrab. Во всяком случае, REvil впервые проявила активность после завершения деятельности GandCrab.

REvil ранее была замешана в атаках программ-вымогателей на серверы Apple и Acer, а также в прошлогодней атаке на компьютерные системы компании Travelex. Однако атака на системы JBS может иметь более значительные последствия: компания является крупнейшим в мире переработчиком мяса, и в результате инцидента были закрыты некоторые крупнейшие скотобойни в США. Сообщается, что кибератака повлияла на работу серверов JBS, поддерживающих её операции в Северной Америке и Австралии, что могло иметь серьёзные последствия для цепочки поставок мяса в этих регионах.