DarkSide atakuje europejski oddział Toshiba Corporation

Na tropie udanego ataku przeprowadzonego na infrastrukturę Colonial Pipeline, w wyniku którego zapłacono okup w wysokości 5 milionów dolarów, grupa aktorów, znana jako DarkSide, przeprowadziła kolejny atak ransomware. Tym razem celem DarkSide był europejski oddział japońskiej firmy Toshiba Corporation.

14 maja Toshiba opublikowała artykuł informacyjny, w którym stwierdzono, że europejskie spółki zależne Toshiba Tec Group stały się ostatnią ofiarą ataku ransomware i „poniosły szkody”.

Toshiba wyciągnęła wtyczkę z dotkniętych sieci, aby zapobiec dalszemu rozprzestrzenianiu się oprogramowania ransomware, a systemy działające między starym kontynentem a Japonią, a także systemy międzyeuropejskie zostały zatrzymane, aby zminimalizować szkody.

Według aktualnych informacji szkoda jest ograniczona do kilku regionów Europy i nie ma dowodów kradzieży informacji o klientach.

Pomimo zapewnienia, że żadne informacje o klientach nie zostały ujawnione ani skradzione, w komunikacie wspomniano, że „wyciekły niektóre informacje i dane”. Grupą odpowiedzialną za atak jest grupa DarkSide, która wdrożyła oprogramowanie ransomware w systemach Colonial Pipeline w USA i spowodowała poważną przerwę w dostawach paliwa, która trwała kilka dni.

Wynikiem poprzedniego ataku było zapłacenie okupu w wysokości 5 milionów dolarów, które firma Colonial dokonała zaledwie kilka godzin po ataku. Pomimo szybkiej płatności narzędzie deszyfrujące dostarczone przez hakerów okazało się zbyt wolne i firma przywróciła operacje przy użyciu własnych wewnętrznych kopii zapasowych. Toshiba obecnie robi to samo, pracując nad przywróceniem sprawności sieci, których dotyczy problem, przy użyciu kopii zapasowych.

Mimo że witryna grupy DarkSide jest obecnie niedostępna, ZDNet poinformował, że wersja pamięci podręcznej strony opublikowanej przez DarkSide wykazała, że około 740 gigabajtów danych zostało wyprowadzonych z systemów firmy Toshiba i zawierały zeskanowane paszporty, a także dokumentację projektu należącą do firmy Toshiba.

Okaże się, czy źli aktorzy ponownie opublikują te pliki. Grupy zagrożeń, które używają oprogramowania ransomware, niedawno przeszły na model podwójnego wymuszenia, zarówno szyfrując pliki ofiary, jak i wydalając jak najwięcej poufnych danych, próbując dalej szantażować ofiarę i grozić wyciekiem danych, jeśli żądania okupu nie zostaną spełnione.

DarkSide działa na zasadzie ransomware-as-a-service, licencjonując swoje złośliwe narzędzia hakerom zewnętrznym. Po zrealizowaniu płatności hakerzy zewnętrzni dzielą wypłatę z zagrożeniem najwyższego poziomu, który obsługuje i obsługuje oprogramowanie ransomware.

Dwa dni temu DarkSide chwalił się, że zaatakował już trzy kolejne cele. Są szanse, że europejski oddział Toshiby był pierwszym z tych trzech celów.