Кибербезопасность клиентов под угрозой после того, как Avon сообщает о «кибер-инциденте»

После кибератаки целевой компании необходимо быстро раскрыть как можно больше деталей. Необходимо объяснить, через какую атаку он прошел, на кого это может повлиять и каковы могут быть последствия для отдельных пользователей. По причинам, которые пока остаются неясными, международный розничный продавец косметики Avon, похоже, борется с этим.

9 июня компания опубликовала форму 8-K в Комиссии по ценным бумагам и биржам США (SEC), в которой объяснялось, что Avon пострадала от того, что в заявке было названо «кибер-инцидент в среде информационных технологий». Ритейлер сказал, что некоторые из его операций были затронуты, но был непреклонен в том, что все еще не совсем уверен, насколько велика была атака. Три дня спустя Avon подал еще одну заявку 8-K с обновленной информацией о «кибер-инциденте». Согласно ей, компания перезапускала некоторые из атакованных систем и все еще находилась в процессе определения, что именно произошло. Впервые было упомянуто, что некоторые личные данные могли быть скомпрометированы, хотя было быстро указать, что данные кредитных карт людей вряд ли будут затронуты.

Это как раз подводит итог официальной информации, которая поступила от компании, и вы должны согласиться, что она оставляет довольно много открытых вопросов. Люди пытались ответить на них.

Клиенты и исследователи безопасности задаются вопросом, что происходит

Одно можно сказать наверняка, что атака была довольно серьезной. Даже сейчас, более чем через неделю после первой подачи 8-K, сайты ряда филиалов Avon по всему миру не работают. В некоторых случаях пользователи видят сообщение о том, что сайт подвергается капитальному ремонту, в то время как другие просто говорят, что в данный момент он недоступен.

Точная природа нападения не была раскрыта в заявках SEC, что вызвало много спекуляций. Например, в январе бразильская компания под названием Natura & Co. купила контрольный пакет акций Avon. В мае около 250 тысяч клиентов Natura пострадали от серьезной утечки данных, и, как ожидается, люди теперь задаются вопросом, могут ли эти два инцидента быть связаны. Между тем, операторы одной из основных семей вымогателей взяли на себя ответственность за атаку.

ДоппельПаймер: мы напали на Эйвон

DoppelPaymer Ransomware существует уже некоторое время, и он был вовлечен в довольно много крупных атак против крупных организаций и предприятий. В прошлом году он, наряду с несколькими другими серьезными угрозами вымогателей, добавил зловещий поворот в их операции.

Обычно единственная цель атаки вымогателей состоит в том, чтобы зашифровать файлы жертвы и шантажировать их для выкупа. Однако в 2019 году операторы DoppelPaymer, Maze и нескольких других компаний-вымогателей начали кражу данных перед их шифрованием. Таким образом, когда целевая компания отказывается платить за расшифровщик, мошенники могут угрожать утечкой украденной информации всему миру. Если украденные данные являются конфиденциальными, и жертва все еще не желает платить, мошенники также могут продавать их в темной сети.

Операторы DoppelPaymer создали специальный веб-сайт, на котором они сначала публикуют имена своих жертв, а затем пропускают конфиденциальные данные, если они отказываются поддаваться вымогательству. Точно названный Doppel Leaks работает с февраля, и, по словам польской компании по тестированию на проникновение под названием Niebezpiecznik, имя Avon недавно появилось на нем. Но значит ли это, что Avon был поражен DoppelPaymer?

Доказательства, безусловно, указывают на атаку вымогателей. Тот факт, что некоторые системы были отключены и до сих пор не восстановлены, позволяет предположить, что данные в них могут быть зашифрованы. Однако, как вы можете видеть, речь идет не только о зашифрованных данных. Конфиденциальная информация, принадлежащая Avon, ее сотрудникам и клиентам, может быть утечка в любое время, и люди должны следить за любыми потенциальными атаками, которые могут возникнуть в результате этого.

Как компании Sophos Пол Даклин сказал, даже Avon не может быть полностью осведомлены о том, что произошло именно в этот момент, но он должен работать, чтобы выяснить, как можно быстрее и сообщить о фактах общественности. Только так люди могут узнать, с каким риском они сталкиваются.