Black Cat Ransomware Gang hevder 80 GB stjålne Reddit-data

I februar opplevde Reddit, den sosiale nyhetsaggregeringsplattformen, et sikkerhetsbrudd der uautoriserte personer fikk tilgang til interne dokumenter, kode og visse forretningssystemer.

Selskapet avslørte at det ble offer for et sofistikert og målrettet angrep 5. februar 2023. Angrepet tok form av en svært målrettet phishing-kampanje rettet mot Reddit-ansatte. Det er viktig å merke seg at brukerpassord og kontoer ikke ble kompromittert i denne hendelsen.

Spyd-phishing-meldingene brukte en taktikk for å omdirigere brukere til et nettsted som etterlignet selskapets intranettgateway. Destinasjonssiden til dette villedende nettstedet ble utformet for å lure ofrene til å oppgi påloggingsinformasjonen og andre-faktor-autentiseringstokens.

I følge en melding utgitt av selskapet ble phishing-kampanjen oppdaget sent 5. februar 2023 (PST). Angriperne brukte plausible oppfordringer for å lede ansatte til klonenettstedet til Reddits intranettgateway, med sikte på å stjele deres påloggingsinformasjon og andre-faktor-tokens.

Når angriperne fikk legitimasjonen til en enkelt ansatt, kunne de få tilgang til visse interne dokumenter, kode, interne dashbord og forretningssystemer. Det er viktig å merke seg at de primære produksjonssystemene til selskapet ikke ble kompromittert.

I varselet heter det videre at eksponeringen var begrenset til noe kontaktinformasjon til nåværende og tidligere bedriftskontakter og ansatte, samt begrenset annonsørinformasjon. Den første undersøkelsen utført av Reddits sikkerhets-, ingeniør- og datavitenskapsteam fant ingen bevis som tydet på at ikke-offentlige data hadde blitt åpnet, publisert eller distribuert på nettet.

Etter å ha oppdaget hendelsen, rapporterte den berørte ansatte selv om phishing-forsøket, noe som førte til en intern etterforskning for å vurdere omfanget av bruddet. Reddits sikkerhetsteam reagerte umiddelbart på hendelsen ved å blokkere inntrengernes tilgang.

Deretter tok BlackCat/ALPHV løsepengevaregjengen på seg ansvaret for nettangrepet på Reddit i februar. Gruppen hevder å ha stjålet 80 GB data (komprimert) fra plattformen. De forsøkte å kontakte Reddit to ganger, 13. april og 16. juni, men lyktes ikke.

Black Cat publiserer krav på 80 GB stjålet fra Reddit

Ransomware-gruppen publiserte en melding på Tor-datalekkasjenettstedet, der de sa at de brøt seg inn i Reddit 5. februar 2023 og skaffet seg 80 gigabyte med data. De nevnte å sende e-post til Reddit to ganger, men forsøkte ikke å fastslå den nøyaktige arten av de stjålne dataene. I tillegg kritiserte gruppen Steve Huffman, Reddits administrerende direktør, for hans handlinger og refererte tidligere tilfeller som involverte bedriftsledere under offentlige bedriftsarrangementer. De uttrykte tillit til at Reddit ikke ville betale løsepenger for de stjålne dataene og virket ivrige etter at publikum skulle få tilgang til statistikken og den konfidensielle informasjonen de hadde innhentet.

BlackCat/ALPHV-gruppen krever 4,5 millioner dollar for å slette de stjålne dataene. Denne nettkriminelle organisasjonen har vært aktiv siden november 2021 og har rettet mot forskjellige ofre, inkludert SOLAR INDUSTRIES INDIA (en produsent av industrielle eksplosiver), NJVC (en amerikansk forsvarsentreprenør), Creos Luxembourg SA (et gassrørledningsselskap), Moncler (en motegigant) , Swissport, NCR og Western Digital.

Løsepengekravene fra denne gruppen har variert, alt fra titusenvis av dollar til titalls millioner dollar, avhengig av offeret.