Útočníci zveřejnili interní data LG a Xeroxu po neúspěšném vydírání
4.8.2020, Jáchym Šlik, aktualita
Letos v červnu měl známý ransomwarový gang napadnout servery několika významných společností, ale použil přitom jiný postup, než bychom očekávali. Po neúspěšném vydírání nyní útočníci zveřejnili desítky gigabajtů interních dat.
Ransomware s přezdívkou Maze není žádnou novinkou, ale přesto se jeho útoky neustále opakují. Skupina útočníků, která stojí za tímto škodlivým kódem, podnikla letos v červnu útok na servery firem LG a Xerox. Žádná z nich neposkytla o incidentu příliš detailů, mnohem sdílnější byli zločinci na svých webových stránkách i v komunikaci s médii. Hackeři z této skupiny používají postup, který se trochu liší od běžných ransomwarových útoků.
Po napadení podnikové sítě nejprve ukradnou citlivá data, až následně soubory zašifrují a po oběti vyžadují výkupné. Pokud firma odmítne zaplatit za dešifrování a raději obnoví soubory ze zálohy, přichází druhá fáze vydírání, ve které útočníci hrozí zveřejněním ukradených dat. Pakliže i v tomto případě firma odmítne splnit požadavky, zločinci po několika týdnech publikují data na svém portálu.
A právě do této fáze se měl dostat případ napadení serverů společností LG a Xerox. Zdá se, že ani jedna z obětí se nerozhodla útočníkům zaplatit, proto gang zveřejnil 50,2 GB dat údajně pocházejících z interní sítě LG a dalších 25,8 GB ukradených Xeroxu. V případě LG by se podle webu ZDNet, který celý případ sleduje od června a měl by mít k dispozici i vzorky ukradených dat, mělo jednat o zdrojový kód proprietárního firmwaru různých produktů včetně smartphonů a notebooků.
Útočníci měli údajně přeskočit fázi ransomwaru – tedy nežádali o výkupné za dešifrování dat – a pouze ze sítě ukradli interní soubory. V e-mailovém prohlášení totiž uvedli, že klienti této firmy jsou společensky významní a cílem nebylo narušit jejich činnost. LG v červnu poskytlo webu ZDNet pouze vágní odpověď s tím, že jakékoliv zjištěné narušení bude nahlášeno úřadům. Nyní společnost zcela odmítla situaci komentovat.
Incident Xeroxu zůstává ještě tajemnější, neboť americký výrobce tiskáren se k němu nijak nevyjádřil. Není ani jasné, zda v tomto případě došlo k zašifrování dat, nebo útočníci zvolili stejný postup jako při napadení serverů LG. Data uniklá online údajně obsahují informace týkající se činnosti zákaznické podpory včetně údajů o zaměstnancích. Podle ZDNet se zatím nepodařilo najít žádné soubory, které by zahrnovaly uživatelská data, i když vzhledem k velikosti může prohledávání ještě nějaký čas trvat.
Společnost Bad Packets v minulosti uvedla, že v obou případech mohli hackeři zneužít chyby serverů Citrix ADC, které administrátoři ponechali bez opravy. Zranitelnost CVE-2019-19781 přitom patří k oblíbeným vrátkům autorů ransomwaru Maze.
Zdroj: ZDNet.com