Търсене
Close this search box.

BHI Energy подробно описва как e пробита от Akira ransomware

В рядка проява на прозрачност американската фирма за енергийни услуги BHI Energy подробно описва как операцията Akira ransomware е проникнала в техните мрежи и е откраднала данните по време на атаката.

BHI Energy, част от Westinghouse Electric Company, е доставчик на специализирани инженерни услуги и решения за подбор на персонал, подпомагащ частни и държавни енергийни единици за производство на нефт и газ, ядрена, вятърна, слънчева и изкопаема енергия, както и съоръжения за пренос и разпределение на електроенергия.

В уведомлението за нарушаване на сигурността на данните, изпратено от BHI Energy до засегнатите лица, компанията предоставя подробна информация за това как бандата Akira ransomware е проникнала в мрежата ѝ на 30 май 2023 г.

Атаката първо е започнала от заплахата Akira, като е използвала откраднатите VPN идентификационни данни за изпълнител от трета страна, за да получи достъп до вътрешната мрежа на компанията.

„Използвайки акаунта на този изпълнител от трета страна, ТА (извършителят на заплахата) достигна до вътрешната мрежа  чрез VPN връзка“, се казва в уведомлението за нарушение на сигурността на данните.

„През седмицата след първоначалния достъп ТА използва същия компрометиран акаунт, за да извърши разузнаване на вътрешната мрежа.“

Операторите на Akira са посетили отново мрежата на 16 юни 2023 г., за да изброят данните, които ще бъдат откраднати. Между 20 и 29 юни заплахите са откраднали 767 хил. файла, съдържащи 690 GB данни, включително базата данни Windows Active Directory на BHI.

И накрая, на 29 юни 2023 г., след като са откраднали всички данни, които са могли да получат от мрежата на BHI, участниците в заплахата са разположили рансъмуера Akira на всички устройства, за да криптират файловете. Тогава ИТ екипът на BHI разбрал, че компанията е компрометирана.

Фирмата заявява, че незабавно е информирала правоприлагащите органи и е ангажирала външни експерти, които да ѝ помогнат да възстанови засегнатите системи. Опорната точка на извършителя в мрежата на BHI е била премахната на 7 юли 2023 г.

Компанията казва, че е успяла да възстанови данни от решение за архивиране в облак, което не е било засегнато от атаката с рансъмуер, така че са успели да възстановят системите си, без да плащат откуп.

Освен това BHI е засилила мерките си за сигурност, като е наложила многофакторна автентификация на VPN достъпа, извършила е глобално възстановяване на паролата, разширила е внедряването на EDR и AV инструменти, за да обхване всички части на своята среда, и е извела от експлоатация старите системи.

Данни, разкрити при атаката

Въпреки че BHI успя да възстанови системите си, бандитите успяха да откраднат данни, съдържащи лична информация на служителите.

Разследването, приключило на 1 септември 2023 г., показва, че са били откраднати следните данни:

  • Пълно име
  • Дата на раждане
  • Номер на социална осигуровка (SSN)
  • Здравна информация

Към момента на писане на този текст рансъмуерът Akira не е изнесъл никакви данни, принадлежащи на BHI, на своя портал за изнудване в тъмната мрежа, а и киберпрестъпниците не са обявили BHI в предстоящите си изтичания на данни.

Към съобщенията за нарушаване на сигурността на данните са приложени инструкции за записване в двугодишна услуга за защита от кражба на самоличност чрез Experian.

Източник: По материали от Интернет

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
Бъдете социални
Още по темата
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
11/04/2024

Panera Bread подхранва подо...

Веригата ресторанти не е предоставила никаква...
09/04/2024

Спад на атаките с рансъмуер...

През 2023 г. секторът на ransomware...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!