Η συμμορία Black Cat Ransomware διεκδικεί 80 GB κλεμμένων δεδομένων Reddit

Τον Φεβρουάριο, το Reddit, η πλατφόρμα συγκέντρωσης ειδήσεων κοινωνικής δικτύωσης, αντιμετώπισε παραβίαση ασφαλείας κατά την οποία μη εξουσιοδοτημένα άτομα απέκτησαν πρόσβαση σε εσωτερικά έγγραφα, κώδικα και ορισμένα επιχειρηματικά συστήματα.

Η εταιρεία αποκάλυψε ότι έπεσε θύμα μιας περίπλοκης και στοχευμένης επίθεσης στις 5 Φεβρουαρίου 2023. Η επίθεση έλαβε τη μορφή μιας άκρως στοχευμένης εκστρατείας ηλεκτρονικού ψαρέματος που απευθύνεται στους υπαλλήλους του Reddit. Είναι σημαντικό να σημειωθεί ότι οι κωδικοί πρόσβασης και οι λογαριασμοί χρηστών δεν παραβιάστηκαν σε αυτό το περιστατικό.

Τα μηνύματα spear-phishing χρησιμοποιούσαν μια τακτική ανακατεύθυνσης των χρηστών σε έναν ιστότοπο που μιμούνταν την πύλη intranet της εταιρείας. Η σελίδα προορισμού αυτού του παραπλανητικού ιστότοπου σχεδιάστηκε για να παραπλανήσει τα θύματα να παρέχουν τα διαπιστευτήρια σύνδεσής τους και τα διακριτικά ελέγχου ταυτότητας δεύτερου παράγοντα.

Σύμφωνα με ειδοποίηση που κυκλοφόρησε από την εταιρεία, η καμπάνια phishing ανακαλύφθηκε στα τέλη Φεβρουαρίου 5 Φεβρουαρίου 2023 (PST). Οι εισβολείς χρησιμοποίησαν εύλογες προτροπές για να κατευθύνουν τους υπαλλήλους στον ιστότοπο κλώνων της πύλης intranet του Reddit, με στόχο να κλέψουν τις πληροφορίες σύνδεσής τους και τα διακριτικά δεύτερου παράγοντα.

Μόλις οι εισβολείς απέκτησαν τα διαπιστευτήρια ενός και μόνο υπαλλήλου, μπόρεσαν να αποκτήσουν πρόσβαση σε ορισμένα εσωτερικά έγγραφα, κώδικα, εσωτερικούς πίνακες εργαλείων και επιχειρηματικά συστήματα. Είναι σημαντικό να σημειωθεί ότι τα συστήματα πρωτογενούς παραγωγής της εταιρείας δεν παραβιάστηκαν.

Η ειδοποίηση αναφέρει περαιτέρω ότι η έκθεση περιοριζόταν σε ορισμένα στοιχεία επικοινωνίας νυν και πρώην επαφών και εργαζομένων της εταιρείας, καθώς και σε περιορισμένες πληροφορίες διαφημιζόμενων. Η αρχική έρευνα που διεξήχθη από τις ομάδες ασφάλειας, μηχανικής και επιστήμης δεδομένων του Reddit δεν βρήκε στοιχεία που να υποδηλώνουν ότι οποιαδήποτε μη δημόσια δεδομένα είχαν πρόσβαση, δημοσιευτεί ή διανεμηθεί στο διαδίκτυο.

Μόλις ανακάλυψε το περιστατικό, ο επηρεαζόμενος υπάλληλος ανέφερε ο ίδιος την απόπειρα phishing, οδηγώντας σε εσωτερική έρευνα για να εκτιμηθεί η έκταση της παραβίασης. Η ομάδα ασφαλείας του Reddit απάντησε αμέσως στο περιστατικό, εμποδίζοντας την πρόσβαση των εισβολέων.

Στη συνέχεια, η συμμορία ransomware BlackCat/ALPHV ανέλαβε την ευθύνη για την κυβερνοεπίθεση στο Reddit τον Φεβρουάριο. Η ομάδα ισχυρίζεται ότι έχει κλέψει 80 GB δεδομένων (συμπιεσμένα) από την πλατφόρμα. Προσπάθησαν να επικοινωνήσουν με το Reddit δύο φορές, στις 13 Απριλίου και στις 16 Ιουνίου, αλλά δεν τα κατάφεραν.

Η Black Cat δημοσιεύει αξιώσεις για κλοπή 80 GB από το Reddit

Η ομάδα ransomware δημοσίευσε ένα μήνυμα στον ιστότοπο διαρροής δεδομένων Tor, δηλώνοντας ότι εισέβαλαν στο Reddit στις 5 Φεβρουαρίου 2023 και απέκτησαν 80 gigabyte δεδομένων. Ανέφεραν ότι έστειλαν email στο Reddit δύο φορές, αλλά δεν προσπάθησαν να προσδιορίσουν την ακριβή φύση των κλεμμένων δεδομένων. Επιπλέον, η ομάδα επέκρινε τον Steve Huffman, CEO της Reddit, για τις ενέργειές του και αναφέρθηκε σε προηγούμενες περιπτώσεις που αφορούσαν ηγέτες επιχειρήσεων κατά τη διάρκεια εκδηλώσεων δημόσιας εταιρείας. Εξέφρασαν τη βεβαιότητα ότι το Reddit δεν θα πλήρωνε λύτρα για τα κλεμμένα δεδομένα και έδειχναν ανυπόμονα για το κοινό να έχει πρόσβαση στα στατιστικά στοιχεία και τις εμπιστευτικές πληροφορίες που είχαν λάβει.

Η ομάδα BlackCat/ALPHV απαιτεί 4,5 εκατομμύρια δολάρια για να διαγράψει τα κλεμμένα δεδομένα. Αυτή η κυβερνοεγκληματική οργάνωση δραστηριοποιείται από τον Νοέμβριο του 2021 και έχει βάλει στο στόχαστρο διάφορα θύματα, όπως η SOLAR INDUSTRIES INDIA (κατασκευαστής βιομηχανικών εκρηκτικών), η NJVC (ανάδοχος άμυνας των ΗΠΑ), η Creos Luxembourg SA (εταιρία αγωγών φυσικού αερίου), η Moncler (γίγαντας της μόδας) , Swissport, NCR και Western Digital.

Οι απαιτήσεις για λύτρα από αυτήν την ομάδα ποικίλλουν και κυμαίνονται από δεκάδες χιλιάδες δολάρια έως δεκάδες εκατομμύρια δολάρια, ανάλογα με το θύμα.