MaxLinear lider en dataovertrædelse under et labyrint Ransomware-angreb

Traditionelt har ransomware-angreb en tendens til at være ret støjende. Mens distributører af keyloggers og password stealers ønsker at forblive så stealthy som muligt, har ransomware-operatører ofte en tendens til at fortælle offeret, hvor mange problemer de har forårsaget, og de gør det normalt kort efter, at de har brød sig ind. Som et nyligt angreb mod et hardwarefirma ved navn MaxLinear viser dog, at tiderne ændrer sig, og det gælder også ransomware-operationer.

IT-systemerne i det børsnoterede selskab blev først brudt omkring 15. april. I mere end en måned forblev hackerne tavse, hvilket var usædvanligt, men den 24. maj distribuerede de Maze ransomware og krypterede nogle af MaxLinear's data. I går indgav hardwareproducenten en 8-K formular til Securities and Exchange Commission (SEC) og kaster lidt mere lys over angrebet.

MaxLinear siger, at det vil trække igennem

Efter at have indset, hvad der foregår, trak MaxLinear straks hele sin infrastruktur offline og hyrede et cybersecurity-selskab til at hjælpe med efterforskningen. Tilsyneladende har sikkerhedseksperterne mere arbejde at gøre, før de kan sige, hvad der skete nøjagtigt, men ifølge arkiveringen er nogle af systemerne allerede blevet gendannet, og resten skal følge efter snart. Det er klart, at det at komme sig efter hændelsen vil koste penge, men MaxLinear mener, at virkningen på dens regnskab ikke vil være så alvorlig. Af afgørende betydning annoncerede virksomheden, at det ikke "har nogen planer" om at imødekomme cyberkriminelle krav.

Når store virksomheder angribes, er kravet om løsepenge temmelig alvorlige, og ved at nægte at betale løsepenge, sparer MaxLinear sandsynligvis hundreder af tusinder af dollars. Vi er sikre på, at aktionærerne er temmelig tilfredse med dette, men under normale omstændigheder er der et andet, mere vigtigt aspekt ved ikke at give efter for hackernes afpresningsforsøg. Det betyder normalt, at hele angrebet var spild af tid for cyberkriminelle. Desværre, når Maze ransomware er involveret, er dette ikke helt tilfældet.

MaxLinear-medarbejderdata blev stjålet

Hackerne sad ikke i tomgang mellem 15. april og 24. maj. Mens de indeholdt i MaxLinear's systemer, fandt de og downloadede en hel del data, og de bruger det nu som en gearing til et andet afpresningsforsøg. Efter at have set, at virksomheden ikke vil betale for dekryptering af filerne, truer cyberkriminelle nu med at lække informationen, hvis virksomheden ikke spiller efter deres regler.

Truslerne begyndte at realisere sig den 15. juni. Bleeping Computer siger, at Maze-ransomware-operatørerne lækkede ca. 10 GB data værd via deres hjemmeside. Cyberkriminelle hævder imidlertid, at de i alt har stjålet omkring 1 TB information, og de kan enten lække det eller sælge det, når de vil. Dette er dårlige nyheder for MaxLinear-medarbejdere, for det er desværre deres oplysninger, vi taler om.

Den 10. juni, flere dage før offentliggørelsen af SEC-arkiveringen, indgav MaxLinear en anmeldelse til dataovertrædelse til Californiens Attorney General Office. Den samme anmeldelse er også blevet sendt til nogle af virksomhedens ansatte, og den informerer dem om, at en masse af deres personlige oplysninger blev udsat for Maze-ransomware-angrebet.

Brevet siger ikke, hvor mange mennesker der var involveret, men det afslører, hvilken slags data der blev stjålet. Hackerne fik adgang til alt fra navn, e-mail-adresser, oplysninger om kompensation og fordele til kørekortnummer, personnummer og økonomiske kontonumre. Berørte medarbejdere er berettigede til kreditovervågning og beskyttelse af identitetstyveri, som virksomheden betaler, og vi er temmelig sikre på, at mange af dem drager fordel af tilbuddet. Alligevel vil dette næppe være en behagelig oplevelse for dem.

At stjæle data inden kryptering er en relativt ny og en meget uhyggelig vri i driften af et par større ransomware-familier, og på grund af dem er risikoen for virksomhederne faktisk dobbelt. Indtil nu var afhjælpningsprocessen afhængig af andet end en god sikkerhedskopi. Dataeksponering er dog irreversibel, hvilket betyder, at potentielle mål skal være mere forsigtige end nogensinde.