В рядка проява на прозрачност американската фирма за енергийни услуги BHI Energy подробно описва как операцията Akira ransomware е проникнала в техните мрежи и е откраднала данните по време на атаката.
BHI Energy, част от Westinghouse Electric Company, е доставчик на специализирани инженерни услуги и решения за подбор на персонал, подпомагащ частни и държавни енергийни единици за производство на нефт и газ, ядрена, вятърна, слънчева и изкопаема енергия, както и съоръжения за пренос и разпределение на електроенергия.
В уведомлението за нарушаване на сигурността на данните, изпратено от BHI Energy до засегнатите лица, компанията предоставя подробна информация за това как бандата Akira ransomware е проникнала в мрежата ѝ на 30 май 2023 г.
Атаката първо е започнала от заплахата Akira, като е използвала откраднатите VPN идентификационни данни за изпълнител от трета страна, за да получи достъп до вътрешната мрежа на компанията.
„Използвайки акаунта на този изпълнител от трета страна, ТА (извършителят на заплахата) достигна до вътрешната мрежа чрез VPN връзка“, се казва в уведомлението за нарушение на сигурността на данните.
„През седмицата след първоначалния достъп ТА използва същия компрометиран акаунт, за да извърши разузнаване на вътрешната мрежа.“
Операторите на Akira са посетили отново мрежата на 16 юни 2023 г., за да изброят данните, които ще бъдат откраднати. Между 20 и 29 юни заплахите са откраднали 767 хил. файла, съдържащи 690 GB данни, включително базата данни Windows Active Directory на BHI.
И накрая, на 29 юни 2023 г., след като са откраднали всички данни, които са могли да получат от мрежата на BHI, участниците в заплахата са разположили рансъмуера Akira на всички устройства, за да криптират файловете. Тогава ИТ екипът на BHI разбрал, че компанията е компрометирана.
Фирмата заявява, че незабавно е информирала правоприлагащите органи и е ангажирала външни експерти, които да ѝ помогнат да възстанови засегнатите системи. Опорната точка на извършителя в мрежата на BHI е била премахната на 7 юли 2023 г.
Компанията казва, че е успяла да възстанови данни от решение за архивиране в облак, което не е било засегнато от атаката с рансъмуер, така че са успели да възстановят системите си, без да плащат откуп.
Освен това BHI е засилила мерките си за сигурност, като е наложила многофакторна автентификация на VPN достъпа, извършила е глобално възстановяване на паролата, разширила е внедряването на EDR и AV инструменти, за да обхване всички части на своята среда, и е извела от експлоатация старите системи.
Въпреки че BHI успя да възстанови системите си, бандитите успяха да откраднат данни, съдържащи лична информация на служителите.
Разследването, приключило на 1 септември 2023 г., показва, че са били откраднати следните данни:
Към момента на писане на този текст рансъмуерът Akira не е изнесъл никакви данни, принадлежащи на BHI, на своя портал за изнудване в тъмната мрежа, а и киберпрестъпниците не са обявили BHI в предстоящите си изтичания на данни.
Към съобщенията за нарушаване на сигурността на данните са приложени инструкции за записване в двугодишна услуга за защита от кражба на самоличност чрез Experian.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
