Все больше организаций становятся жертвами программ-вымогателей, все больше персональных данных попадает в даркнет. Ущерб от атак исчисляется миллионами долларов.
7 мая шведско-швейцарская транснациональна корпорация ABB, ведущий мировой поставщик технологий для электрификации и автоматизации, подверглась атаке программы-вымогателя Black Basta, которая повлияла на бизнес-операции. По данным BleepingComputer, атака программы-вымогателя произошла через службу каталогов Windows Active Directory и затронула сотни устройств. В ответ на кибератаку ABB разорвала VPN-соединения со своими клиентами, чтобы предотвратить распространение программы-вымогателя на другие сети. Сообщается, что атака нарушила работу компании, задержала проекты и повлияла на работу заводов.
ABB прокомментировала инцидент для издания, сообщив, что произошел «инцидент с ИТ-безопасностью, который напрямую затронул определенные локации и системы». «Чтобы исправить ситуацию, ABB приняла и продолжает принимать меры по сдерживанию инцидента. Эти меры сдерживания привели к некоторым сбоям в ее деятельности компании, ведется работа по их устранению. В настоящее время подавляющее большинство систем и заводов ABB работают, компания продолжает безопасно обслуживать своих клиентов. Компания работает над устранениями последствия инцидента и намерена свести к минимуму его последствия, говорится в сообщении ABB.
Хакерская группировка Black Basta начала действовать в апреле 2022 г., она запустила операцию Ransomware-as-a-Service (RaaS), ее жертвами в атаках с двойным вымогательством стали крупные компании. Позднее Black Basta стала партнером вредоносной программы QBot (QakBot), которая устанавливала Cobalt Strike на зараженные устройства, а после начала использовать Cobalt Strike для получения начального доступа к корпоративной сети и последующего распространения на другие устройства. Также группировка Black Basta создала шифратор Linux для атаки на виртуальные машины VMware ESXi, работающие на серверах Linux. Исследователи связывают банду вымогателей Black Basta с хакерской группой FIN7 (Carbanak), которая похищает банковские данные.
Швейцарская компания ABB насчитывает около 105 тыс. сотрудников по всему миру. В рамках своих услуг компания разрабатывает системы промышленного управления (ICS) и системы SCADA для производства и поставщиков энергии. Среди ее клиентов федеральные агентства, государственные и местные органы власти, компании Volvo, Hitachi, DS Smith, крупные города. ABB участвует в реализации ряда инфраструктурных проектов.
Пошли по кратчайшему пути: взломали оператора
Поздно вечером 11 мая африканский оператор подводного волоконно-оптического кабеля компания Seacom заявила, что киберинцидент, произошедший 10 мая, затронул небольшую часть ее клиентов.
«Первоначальное расследование показало, что никакие данные клиентов не были скомпрометированы», — говорится в заявлении компании об инциденте. Компания уведомила службы, корпоративных и оптовых клиентов, что воздействие было ограничено небольшой хостинговой средой и не оказало влияния на основную сеть. Услуги связи для бизнеса и оптовой торговли, которые являются частью бизнес-предложения Seacom, не пострадали и стабильно работают.
По сообщениям Seacom, в ответ на происшествие ИТ-службы и службы безопасности компании немедленно активировали план обеспечения непрерывности бизнеса Seacom. Проблема была своевременно локализована, службы следят за любым возможным развитием событий. Компания проводит структурированный процесс восстановления пострадавших систем, чтобы гарантировать полное восстановление всех систем. «Все это время клиенты и сотрудники остаются нашим главным приоритетом», — говорится в заявлении компании.
За последние месяцы сразу несколько африканских организаций подверглись кибератакам, в т. ч. компании RSAWeb, Dis-Chem, а также несколько государственных ведомств стран Африки.
Компания Seacom начала работу в июле 2009 г. как оптовый оператор подводной кабельной экосистемы Seacom, которая окружающей Африку и поддерживается общеконтинентальной сетью IP-MPLS. В 2015 г. компания вышла на прямой корпоративный рынок в ЮАР, после последовали запуски в Кении, Уганде, Мозамбике и Танзании. С марте 2023 г. компания подключена к кабелю Equiano от Google, это кратчайший путь передачи из Европы в Южную Африку.
Discord взломали через агента
Кроссплатформенная система мгновенного обмена сообщениями Discord уведомляет пользователей об утечке данных, которая произошла после того, как была взломана учетная запись стороннего агента службы поддержки.
Нарушение безопасности выявило очередь заявок в службу поддержки агента, которая содержала адреса электронной почты пользователей, сообщения в службу поддержки Discord, и вложения, отправленные как часть заявок.
Компания заявляет, что взломанная учетная запись была отключена как только инцидент был обнаружен. Discord предупреждает пользователей, что их адреса и переписка с техподдержкой могли стать известны третьей стороне.
Компания уже работает над внедрением эффективных мер по предотвращению подобных инцидентов в будущем. Discord считает риск минимальным, но призывает пользователей следить за любыми подозрительными действиями, такими как попытки мошенничества или фишинговые атаки, пишет BleepingComputer.
Discord — это платформа для обмена мгновенными сообщениями и социальных сетей со 150 млн активных пользователей ежемесячно. Также компания утверждает, что еженедельно у платформы 19 млн активных серверов.
Подсчитали, прослезились…
Британская аутсорсинговая компания Capita сообщила, что ее убытки от мартовской кибератаки, в ходе которой хакеры получили доступ к данным клиентов, поставщиков и персонала, составят до £20 млн.
Организация, которая является крупным государственным и местным подрядчиком, заявила, что в ходе расследования выяснилось, что хакеры получили доступ к некоторым данным, но атака затронула менее 0,1% серверной базы, пишет The Guardian. Capita предпринимает «обширные шаги» для восстановления и защиты данных, содержащихся на затронутом сервере, и для «устранения любых проблем, возникших в результате инцидента», говорится в заявлении компании.
Ожидается, что ущерб от кибератаки составит от £15 млн до £20 млн, включая оплату услуг специалистов, расходы на восстановление и рекультивацию, а также инвестиции в укрепление киберзащиты и усиление ИТ-безопасности.
Capita заявила, что тесно сотрудничает со всеми регуляторами, а также с клиентами, поставщиками и коллегами, чтобы уведомить пострадавших и предпринять необходимые шаги для устранения инцидента. Компания предпринимает меры по обеспечению целостности, сохранности и защищенности своей ИТ-инфраструктуры для исполнения текущих обязательств по обслуживанию клиентов.
В апреле Capita признала, что хакеры получили доступ к его системам за 10 дней до обнаружения проникновения. Сообщается, что хакеры похитили персональные данные пенсионных фондов, которые обслуживает Capita как администратор. Эксперты предполагают, что персональные данные из этой утечки циркулировали в даркнете в марте. Они включали домашние адреса и сканы паспортов. Системы Capita используются для управления пенсиями примерно в 450 организациях и охватывают миллионы страхователей.
По данным BleepingComputer, за атакой на аутсорсинговую компанию стояла группа вымогателей Black Basta. В апреле она выставила на продажу часть похищенных данных.
.jpg)