Η Johnson Controls International έχει υποστεί κά
τι
που περιγράφεται ως μια μαζική επίθεση ransomware που κρυπτογραφούσε πολλές από τις
συσκευές
της εταιρείας, συμπεριλαμβανομένων των διακομιστών VMware ESXi, επηρεάζοντας τις λειτουργίες της εταιρείας και των θυγατρικών της.
Η Johnson Controls είναι ένας πολυεθνικός όμιλος ετερογενών δραστηριοτήτων που
αναπτύσσει
και κατασκευάζει βιομηχανικά συστήματα ελέγχου, εξοπλισμό ασφαλείας, κλιματιστικά και εξοπλισμό πυρασφάλειας.
Η εταιρεία απασχολεί 100.000 άτομα μέσω των εταιρικών δραστηριοτήτων και των θυγατρικών της, συμπεριλαμβανομένων των York, Tyco, Luxaire, Coleman, Ruskin, Grinnel και Simplex.
Κυβερνοεπίθεση το Σαββατοκύριακο
Χθες, μια πηγή είπε στο BleepingComputer ότι η Johnson Controls υπέστη επίθεση με ransomware αφού αρχικά παραβιάστηκε στα γραφεία της στην Ασία.
Έκτοτε, η BleepingComputer έμαθε ότι η εταιρεία υπέστη κυβερνοεπίθεση το Σαββατοκύριακο, η οποία έκανε την εταιρεία να κλείσει τμήματα των συστημάτων πληροφορικής της.
Από τότε, πολλές από τις θυγατρικές της, συμπεριλαμβανομένων των York, Simplex και Ruskin, έχουν αρχίσει να εμφανίζουν μηνύματα τεχνικής διακοπής λειτουργίας σε σελίδες σύνδεσης ιστοτόπων και πύλες πελατών.
«Αυτή τη στιγμή αντιμετωπίζουμε διακοπές IT που ενδέχεται να περιορίσουν ορισμένες εφαρμογές πελατών, όπως η πύλη πελατών Simplex», αναφέρει ένα μήνυμα στον ιστότοπο της Simplex.
«Μετριάζουμε ενεργά τυχόν πιθανές επιπτώσεις στις υπηρεσίες μας και θα παραμείνουμε σε επικοινωνία με τους πελάτες καθώς επιλύονται αυτές οι διακοπές».
Μήνυμα τεχνικής διακοπής της Johnson Controls στον ιστότοπο του York
Πηγή: BleepingComputer
Πελάτες της York, μιας άλλης θυγατρικής της Johnson Controls, αναφέρουν ότι τους λένε ότι τα συστήματα της εταιρείας είναι εκτός λειτουργίας, ενώ κάποιοι δηλώνουν ότι τους είπαν ότι οφείλεται σε κυβερνοεπίθεση.
“Το σύστημα του υπολογιστή τους κατέρρευσε το Σαββατοκύριακο. Η παραγωγή και τα πάντα έχουν πέσει”, ένας πελάτης της Υόρκης
δημοσιεύτηκε στο Reddit
.
«Μίλησα με τον εκπρόσωπο μας και είπε ότι κάποιος τους χακάρισε», δημοσίευσε ένας άλλος πελάτης.
Σήμερα το πρωί, ερευνητής απειλών της Nextron Systems
Ο Gameel Ali έγραψε στο Twitter
ένα δείγμα κρυπτογράφησης Dark Angels VMware ESXi που περιέχει ένα σημείωμα λύτρων που δηλώνει ότι χρησιμοποιήθηκε κατά της Johnson Controls.
Σημείωση λύτρων Dark Angels
Πηγή: BleepingComputer
Το BleepingComputer ενημερώθηκε ότι το σημείωμα λύτρων συνδέεται με μια συνομιλία διαπραγμάτευσης όπου η συμμορία ransomware απαιτεί 51 εκατομμύρια δολάρια για να παράσχει έναν αποκρυπτογραφητή και να διαγράψει κλεμμένα δεδομένα.
Οι παράγοντες της απειλής ισχυρίζονται επίσης ότι έχουν κλέψει πάνω από 27 TB εταιρικών δεδομένων και κρυπτογράφηση των εικονικών μηχανών VMWare ESXi της εταιρείας κατά τη διάρκεια της επίθεσης.
Η BleepingComputer επικοινώνησε με την Johnson Controls με ερωτήσεις σχετικά με την επίθεση, αλλά δεν έχει λάβει απάντηση.
Ποια είναι η συμμορία ransomware των Dark Angels;
Το Dark Angels είναι μια επιχείρηση ransomware που ξεκίνησε τον Μάιο του 2022 όταν άρχισε να στοχεύει οργανισμούς σε όλο τον κόσμο.
Όπως σχεδόν όλες οι συμμορίες ransomware που λειτουργούν από ανθρώπους, το Dark Angels παραβιάζει τα εταιρικά δίκτυα και στη συνέχεια εξαπλώνεται πλευρικά μέσω του δικτύου. Κατά τη διάρκεια αυτής της περιόδου, οι παράγοντες απειλών κλέβουν δεδομένα από διακομιστές αρχείων για να χρησιμοποιηθούν σε επιθέσεις διπλού εκβιασμού.
Όταν αποκτήσουν πρόσβαση στον ελεγκτή τομέα των Windows, οι φορείς απειλών αναπτύσσουν το ransomware για να κρυπτογραφήσουν όλες τις συσκευές στο δίκτυο.
Οι φορείς απειλών χρησιμοποίησαν αρχικά κρυπτογραφητές Windows και VMware ESXi με βάση τη διαρροή πηγαίου κώδικα για το ransomware Babuk.
Ωστόσο, ερευνητής κυβερνοασφάλειας
MalwareHunterTeam
λέει στην BleepingComputer ότι ο κρυπτογραφητής που χρησιμοποιείται στην επίθεση Johnson Controls είναι ο ίδιος με αυτούς που χρησιμοποιεί ο Ragnar Locker από το 2021.
Η Dark Angels δημιούργησε έναν ιστότοπο διαρροής δεδομένων τον Απρίλιο του
2023
με την ονομασία «Dunghill Leaks» που χρησιμοποιείται για να εκβιάσει τα θύματά του, απειλώντας με διαρροή δεδομένων εάν δεν πληρωθούν λύτρα.
Ιστότοπος διαρροής δεδομένων Dark Angel’s ‘Dunghill’ Leaks
Πηγή: BleepingComputer
Αυτός ο ιστότοπος εκβιασμών αναφέρει επί του παρόντος εννέα θύματα, μεταξύ των οποίων
Σπάθη
και
Sysco
ο οποίος πρόσφατα αποκάλυψε κυβερνοεπιθέσεις.