DarkSide attackerar den europeiska filialen till Toshiba Corporation
Varmt på spåret av den framgångsrika attacken som utfördes på Colonial Pipelines infrastruktur som resulterade i en lösenutbetalning på 5 miljoner dollar, utförde hotaktörsgruppen som kallas DarkSide ytterligare en ransomware-attack. Den här gången var DarkSides mål en europeisk underavdelning av japanska Toshiba Corporation.
Den 14 maj publicerade Toshiba en informationsartikel där de uppgav att europeiska dotterbolag till Toshiba Tec Group har blivit det senaste offret för en ransomware-attack och "lidit skada".
Toshiba har dragit ur kontakten på de drabbade nätverken för att förhindra vidare spridning av ransomware och system som fungerar mellan den gamla kontinenten och Japan, liksom intereuropeiska system har stoppats för att minimera skador.
Enligt aktuell information är skadan begränsad till flera europeiska regioner och det finns inga bevis för att kundinformation har stulits.
Trots försäkran om att ingen kundinformation läcktes ut eller stulits nämns i meddelandet att "viss information och data kan ha läckt ut". Gruppen som ansvarar för attacken är DarkSide-gruppen som distribuerade ransomware på Colonial Pipeline-system i USA och orsakade ett stort avbrott i bränsletillförsel som varade i flera dagar.
Resultatet av den tidigare attacken var en lösenutbetalning på 5 miljoner dollar som Colonial genomförde några timmar efter attacken. Trots den snabba betalningen visade sig dekrypteringsverktyget från hackarna alldeles för långsamt och företaget återställde sin verksamhet med egna interna säkerhetskopior. Toshiba gör för närvarande samma sak och arbetar för att få de drabbade nätverken att fungera med hjälp av säkerhetskopior.
Trots att DarkSide-gruppens webbplats för närvarande inte är tillgänglig rapporterade ZDNet att en cacheversion av en sida publicerad av DarkSide visade att cirka 740 gigabyte data exfiltrerades från Toshibas system och inkluderade skannade pass samt projektdokumentation som tillhör Toshiba.
Det återstår att se om de dåliga aktörerna publicerar filerna på nytt. Hotgrupper som använder ransomware har nyligen gått vidare till en dubbel utpressningsmodell, både kryptering av offrets filer och exfiltrering av så mycket känslig data som möjligt, i ett försök att ytterligare utpressa offret och hota dataläckage om lösenkraven inte uppfylls.
DarkSide fungerar på en ransomware-as-a-service-princip och licensierar sina skadliga verktyg till hackare från tredje part. När en betalning har genomförts delar tredjepartshackarna utbetalningen med den högsta hotaktören som driver och stöder ransomware.
För två dagar sedan skröt DarkSide att de redan har attackerat ytterligare tre mål. Chansen är att den europeiska filialen i Toshiba var den första av dessa tre mål.
