Το DarkSide Attacks European Branch της Toshiba Corporation
Καυτό στο ίχνος της επιτυχημένης επίθεσης που πραγματοποιήθηκε στην υποδομή της Colonial Pipeline που είχε ως αποτέλεσμα την πληρωμή λύτρων ύψους 5 εκατομμυρίων δολαρίων, η ομάδα απειλών που ήταν γνωστή ως DarkSide εκτέλεσε μια άλλη επίθεση ransomware. Αυτή τη φορά ο στόχος του DarkSide ήταν μια ευρωπαϊκή υποδιαίρεση της Toshiba Corporation με έδρα την Ιαπωνία.
Στις 14 Μαΐου, η Toshiba δημοσίευσε ένα ενημερωτικό κομμάτι, δηλώνοντας ότι οι ευρωπαϊκές θυγατρικές του Ομίλου Toshiba Tec έχουν γίνει το τελευταίο θύμα μιας επίθεσης ransomware και «υπέστησαν ζημιά».
Η Toshiba έχει τραβήξει το βύσμα στα επηρεαζόμενα δίκτυα, για να αποτρέψει την περαιτέρω εξάπλωση του ransomware και των συστημάτων που λειτουργούν μεταξύ της παλιάς ηπείρου και της Ιαπωνίας, καθώς και τα διευρωπαϊκά συστήματα που έχουν σταματήσει για την ελαχιστοποίηση των ζημιών.
Σύμφωνα με τις τρέχουσες πληροφορίες, η ζημία περιορίζεται σε αρκετές ευρωπαϊκές περιοχές και δεν υπάρχουν ενδείξεις κλοπής πληροφοριών πελατών.
Παρά τη διαβεβαίωση ότι καμία διαρροή ή κλοπή πληροφοριών πελατών, η ανακοίνωση αναφέρει ότι "ορισμένες πληροφορίες και δεδομένα ενδέχεται να έχουν διαρρεύσει". Η ομάδα που είναι υπεύθυνη για την επίθεση είναι η ομάδα DarkSide που χρησιμοποίησε ransomware σε συστήματα Colonial Pipeline στις ΗΠΑ και προκάλεσε σημαντική διακοπή τροφοδοσίας καυσίμου που διήρκεσε αρκετές ημέρες.
Το αποτέλεσμα της προηγούμενης επίθεσης ήταν μια πληρωμή λύτρων ύψους 5 εκατομμυρίων δολαρίων που πραγματοποίησε η Colonial λίγες ώρες μετά την επίθεση. Παρά την έγκαιρη πληρωμή, το εργαλείο αποκρυπτογράφησης που παρέχεται από τους χάκερ αποδείχθηκε πολύ αργό και η εταιρεία αποκατέστησε τις λειτουργίες χρησιμοποιώντας τα δικά της εσωτερικά αντίγραφα ασφαλείας. Η Toshiba κάνει το ίδιο, προσπαθώντας να φέρει τα επηρεαζόμενα δίκτυα σε λειτουργική τάξη, χρησιμοποιώντας αντίγραφα ασφαλείας.
Παρόλο που ο ιστότοπος της ομάδας DarkSide δεν είναι προς το παρόν προσβάσιμος, το ZDNet ανέφερε ότι μια έκδοση προσωρινής μνήμης μιας σελίδας που δημοσιεύτηκε από το DarkSide έδειξε ισχυρισμούς ότι περίπου 740 gigabytes δεδομένων εξήχθησαν από τα συστήματα της Toshiba και περιελάμβανε σαρωμένα διαβατήρια καθώς και τεκμηρίωση έργου που ανήκει στην Toshiba.
Απομένει να δούμε αν οι κακοί ηθοποιοί επανεκδίδουν αυτά τα αρχεία. Ομάδες απειλών που χρησιμοποιούν ransomware έχουν προχωρήσει πρόσφατα σε ένα μοντέλο διπλού εκβιασμού, τόσο κρυπτογραφώντας τα αρχεία του θύματος όσο και εξαλείφοντας όσο το δυνατόν περισσότερα ευαίσθητα δεδομένα, σε μια προσπάθεια περαιτέρω εκβιασμού του θύματος και απειλώντας διαρροές δεδομένων εάν δεν ικανοποιηθούν οι απαιτήσεις για λύτρα.
Το DarkSide λειτουργεί με βάση την αρχή ransomware-as-a-service, παραχωρώντας τα κακόβουλα εργαλεία σε τρίτους χάκερ. Μόλις ολοκληρωθεί μια πληρωμή, οι χάκερ τρίτου μέρους χωρίζουν την πληρωμή με τον κορυφαίο παράγοντα απειλής που λειτουργεί και υποστηρίζει το ransomware.
Πριν από δύο ημέρες, το DarkSide καυχιέται ότι έχουν ήδη επιτεθεί σε τρεις ακόμη στόχους. Οι πιθανότητες είναι ότι ο ευρωπαϊκός κλάδος της Toshiba ήταν ο πρώτος από αυτούς τους τρεις στόχους.
