Grupa aktorów REvil Threat przeprowadza dwa nowe ataki
Według doniesień, grupa zajmująca się zagrożeniami ransomware REvil przeprowadziła dwa nowe udane ataki. Pierwszą z dwóch ostatnich ofiar hakerów jest firma odzieżowa French Connection, która sprzedaje swoje produkty pod bezczelną marką FCUK, ponieważ ma siedzibę w Wielkiej Brytanii. Druga ofiara znajduje się w Ameryce Południowej i to brazylijska firma medyczna o nazwie Grupo Fleury.
REvil, który jest również podmiotem obsługującym niesławne oprogramowanie ransomware Sodinokibi, które istnieje od kilku lat, włamało się do serwerów zaplecza French Connection i wykradziło dane osobowe związane z wysokimi rangą dyrektorami firmy.
Threatpost poinformował o incydencie, powołując się na brytyjską publikację The Register i informując, że szefowie French Connection pokazali skany swoich dowodów osobistych hakerom jako dowód udanego ataku.
French Connection opublikowało oświadczenie informujące o włamaniu, a także stwierdziło, że firma „nie ma dowodów”, że źli aktorzy byli w stanie uzyskać dostęp do wszelkich informacji o klientach. Zgodnie z oczekiwaniami firma natychmiast odcięła systemy, których dotyczy problem, od większej sieci, gdy dowiedzieli się o naruszeniu, a następnie zatrudniła pomoc zewnętrzną, aby naprawić sytuację.
Atak na brazylijską firmę medyczną miał miejsce 22 czerwca i następnego dnia stwierdzili, że nadal pracują nad przywróceniem normalnych operacji. Oświadczenie o ataku zostało udostępnione przez internetową publikację Rio de Janeiro.
Atak na firmę medyczną jest łatwy do wytłumaczenia, ponieważ gdyby hakerom udało się zdobyć dane pacjentów i wyniki badań, mogliby łatwo wyłudzić pieniądze, aby nie wyciekły do sieci. Bardziej interesująca jest jednak sytuacja z French Connection. Wydaje się, że nie było tu żadnego dużego żądania okupu, a przynajmniej nie wydaje się to prawdopodobne, biorąc pod uwagę to, co hakerzy postanowili pokazać jako dowód swojego ataku. Interesująca jest zmiana w kierunku kierowania do osób o wysokich rangach, a nie do korporacyjnych baz danych firmy.
Threatpost dalej cytował eksperta ds. bezpieczeństwa Dirka Schradera, który przywołał bardzo interesujący nowy termin – „zmęczenie oprogramowaniem ransomware”. Sugerowało to, że tego typu ataki ransomware stały się tak częste, a zapowiedzi kolejnej ofiary REvil, grupy DarkSide lub innej grupy zajmującej się zagrożeniami stały się tak częste, że zarówno firmy, jak i społeczność zajmująca się bezpieczeństwem IT zaczynają być nieco apatyczna wobec to wszystko.
