Hackere hævder adgang til Western Digital-systemer samt hele deres SAP Backoffice
En af hackerne hævdede at have stjålet kundedata og sagde, at de beder om en ‘minim 8-tal’ som løsesum. Hackerne har ikke krypteret data, men disse filer er en katastrofe hvis de ender på darknet, da der er mange virksomheder der bruger WD til at gemme fortrolige dokumenter, kontrakter, patenter, designs og meget andet.
Hackerne truer med at publicere 10TB data, hvilket dog er meget lidt sammenlignet med at Western Digital er en Server Hosting Center virksomhed.
Billede Credits: Goh Seng Chong / Bloomberg via Getty Images / Getty Images
Hackerne, der har brudt ind i datalagringsgiganten Western Digital, hævder at have stjålet omkring 10 terabyte data fra virksomheden, inklusive bunker af kundeoplysninger. Afpresserne presser virksomheden til at forhandle en løsesum – på et “minimum 8 tal” – til gengæld for ikke at offentliggøre de stjålne data.
Den 3. april afslørede Western Digital “en netværkssikkerhedshændelse”, der sagde, at hackere havde exfiltreret data efter at have hacket sig ind i “et antal af virksomhedens systemer.” På det tidspunkt gav Western Digital få detaljer om præcis, hvilke data hackerne stjal, og sagde i en erklæring, at hackerne “fik visse data fra sine systemer, og [Western Digital] arbejder på at forstå arten og omfanget af disse data.”
Siger IT Chefen fra Western Digital, Charlie Smalling
En af hackerne talte med TechCrunch og gav flere detaljer med det formål at verificere deres påstande. Hackeren delte en fil, der var digitalt signeret med Western Digitals kodesigneringscertifikat, hvilket viste, at de nu kunne signere filer digitalt for at efterligne Western Digital. To sikkerhedsforskere kiggede også på filen og var enige om, at den er underskrevet med virksomhedens certifikat.
Hackerne delte også telefonnumre, der angiveligt tilhører flere virksomhedsledere. TechCrunch kaldte tallene. De fleste af opkaldene ringede, men gik til automatiske telefonsvarerbeskeder. To af telefonnumrene havde telefonsvarerhilsener, der nævnte navnene på de ledere, som hackerne hævdede var forbundet med numrene. De to telefonnumre er ikke offentlige.
Skærmbilleder delt af hackeren viser en mappe fra en Box-konto, der tilsyneladende tilhører Western Digital, en intern e-mail, filer gemt i en PrivateArk-instans (et cybersikkerhedsprodukt baseret på kryptering) og et skærmbillede af et gruppeopkald, hvor en af deltagerne identificeres som Western Digitals chef for informationssikkerhed.
De sagde også, at de var i stand til at stjæle data fra virksomhedens SAP Backoffice, en back-end-grænseflade, der hjælper virksomheder med at administrere e-handelsdata.
Hackeren sagde, at deres mål, da de hackede Western Digital, var at tjene penge, selvom de besluttede sig for ikke at bruge ransomware til at kryptere virksomhedens filer.
“Jeg vil gerne give dem en chance for at betale, men vores opkaldere […] De har ringet til dem mange gange. De svarer ikke, og hvis de gør, lytter de og lægger på,”
siger hackeren, der er ukendt for os.
Hackeren sagde, at de også har sendt e-mail til flere ledere – ved hjælp af deres personlige e-mail-adresser, fordi virksomhedens e-mail-system i øjeblikket er nede – og kræver en “engangsbetaling.”
“Vi er skadedyrene, der brød ind i din virksomhed. Måske er din opmærksomhed nødvendig!” skrev hackerne ifølge en kopi af den e-mail, hackerne delte med TechCrunch. “Fortsæt ned ad denne vej, og vi vil gøre gengæld.”
“Vi har kun brug for en engangsbetaling, og så forlader vi dit netværk og fortæller dig om dine svagheder. Der er ikke sket nogen varig skade. Men hvis der er nogen bestræbelser på at forstyrre os, vores systemer eller noget andet. Vi slår tilbage,” fortsatte hackerne. “Vi er stadig begravet i dit netværk, og vi vil fortsætte med at grave der, indtil vi finder en betaling fra dig. Vi kan helt skjule dette og få det hele til at forsvinde. Lad os gøre det, før det er for sent. Indtil nu har du været nådig; Lad os håbe, at du ikke fortsætter den forkerte vej.”
“Skær lortet, få pengene, og lad os begge gå hver til sit. Kort sagt, lad os lægge vores egoer til side og arbejde for at finde en løsning på dette kaotiske scenario,”
Skrev hackerne.
Western Digital talsmand Charlie Smalling sagde, at virksomheden nægtede at kommentere eller besvare spørgsmål om hackerens påstande, såsom om virksomheden kunne bekræfte mængden af stjålne data, hvis det indeholdt kundedata, og om virksomheden havde kontaktet hackerne.
Hackeren, der talte med TechCrunch, nægtede at specificere, hvilken slags kundedata de har, hvordan de oprindeligt brød ind i Western Digitals netværk, og hvordan de opretholdt adgang til virksomhedens netværk.
“Jeg kan sige, at vi udnyttede sårbarheder i deres infrastruktur og edderkopper vores vej til global administrator af deres [Microsoft] Azure-lejer,”
Sagde hackeren.
Hvad angår hvorfor de hackede Western Digital, sagde hackeren, at de bare kommer med mål “tilfældigt.” De nægtede også at sige noget om sig selv eller gruppen og sagde, at de ikke går under noget navn.
Hvis Western Digital ikke vender tilbage til dem, sagde hackeren, de er klar til at begynde at offentliggøre de stjålne data på webstedet for ransomware-banden Alphv.
Hackeren sagde, at de ikke er direkte tilknyttet Alphv, men “Jeg ved, at de er professionelle.”
Når der er tale om ALPHV, kan noget tyde på at der er tale om Ransomware-as-a-Service (RaaS) affiliate (forhandler) eftersom ALPHV er en RAAS udbyder. Så her lidt mere om denne gruppe:
Hvem er ALPHV?
ALPHV tilbydes som en Ransomware-as-a-Service (RaaS), hvor datterselskaber betaler en procentdel af overskuddet fra at bruge ransomware til ALPHV-operatørerne til gengæld for brug af ransomware og andre relaterede tjenester. Dette produkt giver oplysninger relateret til ALPHVs baggrund, trusselsaktivitet, anvendte taktikker og afbødningsråd.
Hovedpunkter
- ALPHV ransomware begrænser adgangen til virksomhedens filer og systemer ved at kryptere dem til et låst og ubrugeligt format. Ofre modtager instruktioner om, hvordan de skal engagere sig med gerningsmændene efter kryptering.
- ALPHV-datterselskaber har med succes implementeret ransomware på virksomhedssystemer i en række lande og sektorer, herunder i Australien, hvor ACSC er opmærksom på flere ofre.
- ALPHV-tilknyttede virksomheder implementerer flere afpresningsteknikker ud over kryptering af filer på offerets netværk. Disse inkluderer upload af stjålne offerdata helt eller delvist til et dedikeret lækagested (DLS), trusler om at sælge og / eller frigive yderligere oplysninger og true offeret med DDoS-angreb (Distributed Denial of Service), hvis de ikke overholder løsesumskrav.
- Trusselsaktører, der er involveret i implementeringen af ALPHV ransomware, bruger en række vektorer til at få indledende adgang til offernetværk, herunder men ikke begrænset til brugen af phished og brute-tvunget adgangsoplysninger.
- ACSC fraråder at betale løsepenge. Betaling af løsesummen kan øge en organisations sårbarhed over for fremtidige ransomware-hændelser. Derudover er der ingen garanti for, at betalingen vil fortryde skaden.
Baggrund
ALPHV (aka BlackCat, Noberus) blev først opdaget i slutningen af 2021 og er et ransomware-as-a-service (RaaS) tilknyttet program forbundet med russisktalende cyberkriminalitetsaktører. Ifølge open source-rapportering, ALPHV er relateret til tidligere ransomware-varianter BlackMatter og DarkSide, som blev brugt i angrebet på Colonial Pipeline i maj 2021. Operatørerne af ALPHV har angiveligt forsøgt at rekruttere tidligere medlemmer af BlackMatter, DarkSide og REvil grupper, og flere ligheder er blevet identificeret mellem taktik, teknikker og procedurer (TTP’er) af både ALPHV og BlackMatter ransomware aktører.
Operatørerne af ALPHV annoncere ransomware til potentielle datterselskaber i private fora, såsom darknet forum RAMP. ALPHV-datterselskaber har med succes implementeret ransomware til at målrette netværk over hele verden, herunder i Australien, hvor ACSC er opmærksom på flere australske ofre.
Trussel aktivitet
ACSC er opmærksom på en stigning i ALPHV-aktivitet globalt i 2022 i forhold til andre konkurrerende ransomware-varianter, herunder mod australske organisationer. ACSC er opmærksom på, at ALPHV er rettet mod offentlige og kritiske infrastrukturorganisationer samt energi-, finans-, bygge- og andre sektorer. I februar 2022 kompromitterede ALPHV-datterselskaber en tysk olielagringsoperatør og en energidistributør. ALPHV-operatørerne hævder at udelukke brugen af ransomware i angreb på sundhedsvæsenet og velgørende organisationer.
I slutningen af marts 2022, ALPHV-udviklerne annoncerede ændringer til ransomware, angiveligt inklusive funktioner til at hæmme detektion af ALPHV ransomware af antivirus og andre signaturbaserede detektionssystemer ved hjælp af polymorfe funktioner, der ændrer dele af ransomware-kode.
Taktik, teknikker og procedurer
ALPHV er skrevet i programmeringssproget ‘Rust’. ALPHV ransomware har evnen til at målrette både Windows, og Linux-systemer, samt ESXi virtualiseringsinfrastruktur.
Trusselsaktører, der implementerer ALPHV ransomware, bruger en række indledende adgangsvektorer til at få adgang til målnetværk, herunder:
- Udnyttelse af kendte sårbarheder eller almindelige sikkerhedsfejlkonfigurationer.
- Brug af legitime legitimationsoplysninger, der er købt, brutalt tvunget eller opnået i phishing-angreb, herunder legitimationsoplysninger til RDP-forbindelser (Remote Desktop Protocol) og kommercielle VPN-produkter (Virtual Private Network).
Når den første adgang er opnået, etablerer ALPHV-aktører omvendte SSH-tunneler som en kommando-og-kontrol-kanal (C2) mellem ofre og ALPHV-infrastruktur. Skuespillere er blevet observeret formere ALPHV gennem offernetværk ved hjælp af PsExec. ALPHV ransomware kan konfigureres til at afslutte VMware ESXi virtuelle maskiner (VM’er), og til at slette VM snapshots og sikkerhedskopier for at forhindre inddrivelse indsats.
Andre observerbare taktikker, teknikker, og procedurer (TTP’er) forbundet med ALPHV ransomware-aktivitet inkluderer, men er ikke begrænset til:
- Brug af PowerShell til at ændre Windows Defender-sikkerhedsindstillinger
- Brug af PsExec til lateral bevægelse, værktøjsoverførsel og udførelse.
- Brug af det offentligt tilgængelige penetrationstestværktøj CobaltStrike til netværksadgang og lateral bevægelse.
- Exfiltrering af data til offentligt tilgængelige fildelingstjenester i skyen.
Efter udnyttelse
Når krypteringen af offerdata er afsluttet, modtager ofrene en løsesumnote, der leder dem til enten en e-mail-adresse eller en URL, hvorfra et tilknyttet selskab vil kræve betaling. ALPHV-tilknyttede virksomheder implementerer flere afpresningsteknikker ud over kryptering af offerets netværk. Det drejer sig bl.a. om:
- Upload af stjålne offerdata helt eller delvist til et dedikeret lækagested (DLS), der vedligeholdes på The Onion Router (TOR) -netværket.
- Trusler om at sælge og/eller frigive yderligere oplysninger.
- Trusler offeret med DDoS-angreb (Distributed Denial of Service), hvis de ikke overholder krav om løsepenge.
ALPHV ransomware bruger en unik adgangstoken-funktion til at forhindre tredjeparter i at overvåge og forstyrre løsesumforhandlinger. Dette adgangstoken bruges til at oprette en adgangsnøgle, der er nødvendig for at komme ind på en dedikeret offerportal på et TOR-websted, hvor løsesumforhandlinger udføres. I modsætning til andre ransomware-varianter er ALPHV villig til at engagere sig med virksomheder, der er ansat til at føre løsesumforhandlinger på vegne af ofre, og har en ‘mellemmand’ login-mulighed på offerportalen.
Bistand
ACSC overvåger en række ransomware-variantaktivitet, herunder ALPHV. ACSC er i stand til at yde bistand og rådgivning, hvis det er nødvendigt.
Alle ofre opfordres kraftigt til at rapportere ransomware-relateret cyberkriminalitet og cybersikkerhedshændelser til ACSC. Organisationer, der er blevet påvirket eller har brug for hjælp med hensyn til en ALPHV ransomware-hændelse, kan kontakte ACSC via 1300 CYBER1 (1300 292 371) eller ved at indsende en rapport.
MITRE ATT&CK Teknikker og foreslåede afbødninger
ACSC anbefaler at gennemføre følgende afbødninger:
- Implementer multifaktorgodkendelse for at forhindre aktører i at få adgang til gyldige konti med stjålne legitimationsoplysninger.
- Implementer netværkssegmentering og filtrering af netværkstrafik for at forhindre aktører i at oprette direkte forbindelse til fjernadgangstjenester, de har etableret for at bevare dem.
- Konfigurer Windows-registreringsdatabasen til at kræve brugerkontogodkendelse (UAC) for alle PsExec-handlinger, der kræver administratorrettigheder, for at reducere risikoen for lateral bevægelse af PsExec.
- Implementer hypervisorlogovervågning, og sørg for, at logfiler behandles på et separat system.
- Implementer applikationshvidlistning (i det mindste i skærmtilstand for at fange usædvanlig aktivitet).
- Udfør daglige sikkerhedskopier, og hold dem offline og krypterede.
Nedenstående tabel kortlægger afbødningerne til de teknikker, der udnyttes af aktøren, og til ressourcerne til at implementere disse afbødninger for at beskytte din infrastruktur.
Kilde: Techcrunch
Fotokredit: stock.adobe.com