A DarkSide megtámadja a Toshiba Corporation európai fiókját

A Colonial Pipeline infrastruktúráján végrehajtott sikeres támadás nyomán, amely 5 millió dolláros váltságdíjat eredményezett, a DarkSide néven ismert fenyegető színészcsoport újabb ransomware támadást hajtott végre. A DarkSide célja ezúttal a japán központú Toshiba Corporation európai részlege volt.

Május 14-én a Toshiba tájékoztató cikket tett közzé, amelyben kijelentette, hogy a Toshiba Tec Group európai leányvállalatai a ransomware támadás legújabb áldozatává váltak és "károkat szenvedtek".

A Toshiba kihúzta a csatlakozót az érintett hálózatokba, hogy megakadályozza a ransomware és az öreg kontinens és Japán között működő rendszerek további elterjedését, valamint az inter-európai rendszereket leállították a károk minimalizálása érdekében.

A jelenlegi információk szerint a kár több európai régióra korlátozódik, és nincs bizonyíték arra, hogy a vásárlói információkat ellopták.

Annak ellenére, hogy megnyugtatták, hogy nem kerültek kiszivárogtatásra vagy ellopásra az ügyfelek információi, a közlemény említi, hogy "bizonyos információk és adatok kiszivároghattak". A támadásért felelős csoport a DarkSide csoport, amely ransomware-t telepített az Colonial Pipeline rendszerekre az Egyesült Államokban, és több napig tartó jelentős üzemanyag-leállást okozott.

Az előző támadás eredménye egy 5 millió dolláros váltságdíjfizetés volt, amelyet a Colonial csak néhány órával a támadás után hajtott végre. Az azonnali fizetés ellenére a hackerek által biztosított visszafejtő eszköz túl lassúnak bizonyult, és a vállalat saját belső biztonsági mentéseivel helyreállította a működését. A Toshiba jelenleg ugyanezt teszi, azon dolgozik, hogy az érintett hálózatokat működési rendbe hozza, biztonsági másolatok felhasználásával.

Annak ellenére, hogy a DarkSide csoport webhelye jelenleg nem érhető el, a ZDNet arról számolt be, hogy a DarkSide által közzétett oldal gyorsítótár-verziója azt állította, hogy körülbelül 740 gigabájtnyi adatot szűrtek ki a Toshiba rendszereiből, és beszkennelt útleveleket, valamint a Toshibához tartozó projektdokumentációt tartalmazott.

Meg kell nézni, hogy a rossz szereplők újból közzéteszik-e ezeket a fájlokat. A ransomware-t használó fenyegetéscsoportok a közelmúltban kettős zsarolási modellre léptek, mind az áldozat fájljait, mind pedig a lehető legtöbb érzékeny adatot kiszűrve, hogy megpróbálják tovább zsarolni az áldozatot, és fenyegetik az adatszivárgást, ha a váltságdíjat nem teljesítik.

A DarkSide egy ransomware-as-a-service elven működik, és rosszindulatú eszközeit harmadik fél hackereknek engedélyezi. Amint befizetés megtörtént, a harmadik féltől származó hackerek megosztják a kifizetést a legfelsőbb szintű fenyegetéssel, aki a ransomware-t üzemelteti és támogatja.

Két nappal ezelőtt a DarkSide azzal dicsekedett, hogy már további három célpontot megtámadtak. Valószínű, hogy a Toshiba európai fióktelepe volt az első e három célpont között.