DarkSide angriper europeisk filial av Toshiba Corporation
Varmt på sporet av det vellykkede angrepet utført på infrastrukturen til Colonial Pipeline som resulterte i en utbetaling på $ 5 millioner, utførte trusselskuespillergruppen kjent som DarkSide et nytt ransomware-angrep. Denne gangen var DarkSides mål en europeisk underavdeling av japansk-baserte Toshiba Corporation.
14. mai publiserte Toshiba en informasjonsartikkel om at europeiske datterselskaper til Toshiba Tec Group har blitt det siste offeret for et ransomware-angrep og "lidd skade".
Toshiba har trukket støpselet på de berørte nettverkene, for å forhindre videre spredning av løsepenger og systemer som opererer mellom det gamle kontinentet og Japan, samt inter-europeiske systemer har blitt stoppet for å minimere skade.
I følge gjeldende informasjon er skaden begrenset til flere europeiske regioner, og det er ingen bevis for at kundeinformasjon blir stjålet.
Til tross for forsikringen om at ingen kundeinformasjon ble lekket eller stjålet, nevner kunngjøringen at "noe informasjon og data kan ha blitt lekket". Gruppen som er ansvarlig for angrepet er DarkSide-gruppen som distribuerte løsepenger på Colonial Pipeline-systemer i USA og forårsaket et stort strømbrudd som varte i flere dager.
Resultatet av det forrige angrepet var en løsesumutbetaling på 5 millioner dollar som Colonial utførte bare timer etter angrepet. Til tross for rask betaling viste dekrypteringsverktøyet fra hackerne seg altfor sakte, og selskapet gjenopprettet driften ved hjelp av egne interne sikkerhetskopier. Toshiba gjør for øyeblikket det samme, og jobber med å bringe de berørte nettverkene i drift, ved hjelp av sikkerhetskopier.
Selv om DarkSide-gruppens nettsted for øyeblikket ikke er tilgjengelig, rapporterte ZDNet at en cacheversjon av en side publisert av DarkSide viste påstander om at rundt 740 gigabyte data ble exfiltrert fra Toshibas systemer og inkluderte skannede pass samt prosjektdokumentasjon som tilhører Toshiba.
Det gjenstår å se om de dårlige skuespillerne publiserer disse filene på nytt. Trusselgrupper som bruker løsepenger har nylig flyttet til en dobbel utpressingsmodell, både kryptering av offerets filer og exfiltrering av så mye sensitive data som mulig, i et forsøk på å ytterligere utpresse offeret og true datalekkasjer hvis løsepenger ikke blir oppfylt.
DarkSide opererer på et ransomware-as-a-service-prinsipp og lisensierer skadelige verktøy til tredjeparts hackere. Når en betaling er gjennomført, deler tredjeparts hackere utbetalingen med trusselspilleren på toppnivå som driver og støtter løsepenger.
For to dager siden skrøt DarkSide av at de allerede har angrepet tre flere mål. Sjansen er stor for at den europeiske avdelingen i Toshiba var den første av disse tre målene.
