Black Cat Ransomware Gang przejmuje 80 GB skradzionych danych Reddit

W lutym Reddit, platforma agregująca wiadomości społecznościowe, doświadczyła naruszenia bezpieczeństwa, w wyniku którego nieupoważnione osoby uzyskały dostęp do wewnętrznych dokumentów, kodu i niektórych systemów biznesowych.

Firma ujawniła, że 5 lutego 2023 roku padła ofiarą wyrafinowanego i ukierunkowanego ataku. Atak miał formę wysoce ukierunkowanej kampanii phishingowej skierowanej do pracowników Reddita. Należy zauważyć, że hasła użytkowników i konta nie zostały naruszone w tym incydencie.

Wiadomości typu spear phishing wykorzystywały taktykę przekierowania użytkowników do strony internetowej, która naśladowała firmową bramę intranetową. Strona docelowa tej oszukańczej witryny została zaprojektowana w celu oszukania ofiar w celu podania danych logowania i tokenów uwierzytelniania drugiego składnika.

Zgodnie z powiadomieniem wydanym przez firmę, kampania phishingowa została wykryta pod koniec 5 lutego 2023 r. (PST). Atakujący użyli wiarygodnie brzmiących podpowiedzi, aby skierować pracowników na sklonowaną stronę internetową bramy intranetowej Reddit w celu kradzieży ich danych logowania i tokenów drugiego czynnika.

Po uzyskaniu danych uwierzytelniających jednego pracownika osoby atakujące były w stanie uzyskać dostęp do niektórych wewnętrznych dokumentów, kodu, wewnętrznych pulpitów nawigacyjnych i systemów biznesowych. Należy zauważyć, że podstawowe systemy produkcyjne firmy nie zostały naruszone.

W zawiadomieniu stwierdza się ponadto, że ekspozycja była ograniczona do niektórych danych kontaktowych obecnych i byłych kontaktów i pracowników firmy, a także do ograniczonych informacji o reklamodawcach. Wstępne dochodzenie przeprowadzone przez zespoły ds. bezpieczeństwa, inżynierii i analizy danych Reddita nie znalazło dowodów sugerujących, że jakiekolwiek dane niepubliczne były udostępniane, publikowane lub rozpowszechniane online.

Po wykryciu incydentu pracownik, którego dotyczy problem, sam zgłosił próbę phishingu, co doprowadziło do wewnętrznego dochodzenia w celu oceny zakresu naruszenia. Zespół ds. bezpieczeństwa Reddit natychmiast zareagował na incydent, blokując dostęp intruzom.

Następnie gang ransomware BlackCat/ALPHV przyznał się do cyberataku na Reddit w lutym. Grupa twierdzi, że ukradła 80 GB danych (skompresowanych) z platformy. Dwukrotnie próbowali skontaktować się z Redditem, 13 kwietnia i 16 czerwca, ale bezskutecznie.

Black Cat publikuje roszczenia dotyczące 80 GB skradzionych z Reddit

Grupa ransomware opublikowała wiadomość na swojej stronie wycieku danych Tora, stwierdzając, że włamała się do Reddit 5 lutego 2023 r. I zdobyła 80 gigabajtów danych. Wspomnieli o dwukrotnym wysłaniu e-maila do Reddit, ale nie próbowali ustalić dokładnego charakteru skradzionych danych. Ponadto grupa skrytykowała Steve'a Huffmana, dyrektora generalnego Reddit, za jego działania i odniosła się do wcześniejszych przypadków z udziałem liderów biznesu podczas publicznych wydarzeń firmowych. Wyrazili przekonanie, że Reddit nie zapłaci żadnego okupu za skradzione dane i wydawali się pragnąć, aby opinia publiczna miała dostęp do uzyskanych przez nich statystyk i poufnych informacji.

Grupa BlackCat/ALPHV żąda 4,5 miliona dolarów za usunięcie skradzionych danych. Ta cyberprzestępcza organizacja działa od listopada 2021 r. i atakuje różne ofiary, w tym SOLAR INDUSTRIES INDIA (producent przemysłowych materiałów wybuchowych), NJVC (kontrahent branży obronnej w USA), Creos Luxembourg SA (firma zajmująca się rurociągami gazowymi), Moncler (gigant modowy) , Swissport, NCR i Western Digital.

Żądania okupu od tej grupy wahały się od dziesiątek tysięcy dolarów do dziesiątek milionów dolarów, w zależności od ofiary.