Black Cat Ransomware-bande hævder 80 GB stjålne Reddit-data

I februar oplevede Reddit, den sociale nyhedsaggregationsplatform, et sikkerhedsbrud, hvor uautoriserede personer fik adgang til interne dokumenter, kode og visse forretningssystemer.

Virksomheden afslørede, at den blev offer for et sofistikeret og målrettet angreb den 5. februar 2023. Angrebet tog form af en meget målrettet phishing-kampagne rettet mod Reddit-medarbejdere. Det er vigtigt at bemærke, at brugeradgangskoder og konti ikke blev kompromitteret i denne hændelse.

Spyd-phishing-beskederne brugte en taktik til at omdirigere brugere til et websted, der efterlignede virksomhedens intranet-gateway. Landingssiden på dette vildledende websted er designet til at bedrage ofrene til at give deres loginoplysninger og anden-faktor-godkendelsestokens.

Ifølge en meddelelse udgivet af virksomheden blev phishing-kampagnen opdaget i slutningen af den 5. februar 2023 (PST). Angriberne brugte plausible-lydende prompter til at dirigere medarbejderne til klonwebstedet for Reddits intranetgateway med det formål at stjæle deres login-oplysninger og anden-faktor-tokens.

Når først angriberne fik legitimationsoplysningerne fra en enkelt medarbejder, var de i stand til at få adgang til visse interne dokumenter, kode, interne dashboards og forretningssystemer. Det er vigtigt at bemærke, at virksomhedens primære produktionssystemer ikke blev kompromitteret.

I meddelelsen fremgår det endvidere, at eksponeringen var begrænset til nogle kontaktoplysninger på nuværende og tidligere virksomhedskontakter og ansatte samt begrænsede annoncøroplysninger. Den indledende undersøgelse udført af Reddits sikkerheds-, ingeniør- og datavidenskabshold fandt ingen beviser, der tyder på, at ikke-offentlige data var blevet tilgået, offentliggjort eller distribueret online.

Efter at have opdaget hændelsen, rapporterede den berørte medarbejder selv phishingforsøget, hvilket førte til en intern undersøgelse for at vurdere omfanget af bruddet. Reddits sikkerhedsteam reagerede omgående på hændelsen ved at blokere ubudne gæsters adgang.

Efterfølgende påtog BlackCat/ALPHV ransomware-banden ansvaret for cyberangrebet på Reddit i februar. Gruppen hævder at have stjålet 80 GB data (komprimeret) fra platformen. De forsøgte at kontakte Reddit to gange, den 13. april og den 16. juni, men uden held.

Black Cat udgiver krav på 80 GB stjålet fra Reddit

Ransomware-gruppen offentliggjorde en besked på sin Tor-datalækageside, hvori den anførte, at de brød ind i Reddit den 5. februar 2023 og erhvervede 80 gigabyte data. De nævnte at sende en e-mail til Reddit to gange, men forsøgte ikke at bestemme den nøjagtige karakter af de stjålne data. Derudover kritiserede gruppen Steve Huffman, Reddits administrerende direktør, for hans handlinger og henviste til tidligere tilfælde, der involverede virksomhedsledere under offentlige firmaarrangementer. De udtrykte tillid til, at Reddit ikke ville betale nogen løsesum for de stjålne data og virkede ivrige efter, at offentligheden skulle have adgang til de statistikker og fortrolige oplysninger, de havde fået.

BlackCat/ALPHV-gruppen kræver 4,5 millioner dollars for at slette de stjålne data. Denne cyberkriminelle organisation har været aktiv siden november 2021 og har været rettet mod forskellige ofre, herunder SOLAR INDUSTRIES INDIA (en producent af industrisprængstoffer), NJVC (en amerikansk forsvarsentreprenør), Creos Luxembourg SA (et gasrørledningsselskab), Moncler (en modegigant) , Swissport, NCR og Western Digital.

Løsepengekravene fra denne gruppe har varieret fra titusindvis af dollars til titusinder af dollars, afhængigt af offeret.