Σε μια σπάνια επίδειξη διαφάνειας, η αμερικανική εταιρεία ενεργειακών υπηρεσιών BHI Energy αναφέρει λεπτομερώς πώς η επιχείρηση ransomware Akira παραβίασε τα δίκτυά τους και έκλεψε τα δεδομένα κατά τη διάρκεια της επίθεσης.
Η BHI Energy, μέρος της Westinghouse Electric Company, είναι ένας πάροχος εξειδικευμένων υπηρεσιών μηχανικής και λύσεων στελέχωσης που υποστηρίζει ιδιω
τι
κές και κρατικές μονάδες παραγωγής πετρελαίου και φυσικού αερίου, πυρηνικής, αιολικής, ηλιακής και ορυκτής
ενέργεια
ς και εγκαταστάσεις μεταφοράς και διανομής ηλεκτρικής ενέργειας.
Σε μια ειδοποίηση παραβίασης δεδομένων που εστάλη από την BHI Energy σε άτομα που επηρεάστηκαν, η εταιρεία παρέχει λεπτομερείς πληροφορίες σχετικά με τον τρόπο με τον οποίο η συμμορία ransomware Akira παραβίασε το δίκτυό της στις 30 Μαΐου 2023.
Η επίθεση ξεκίνησε αρχικά από τον ηθοποιό απειλών Akira χρησιμοποιώντας τα κλεμμένα διαπιστευτήρια VPN για έναν τρίτο εργολάβο για πρόσβαση στο εσωτερικό δίκτυο της BGI Energy.
“Χρησιμοποιώντας τον λογαριασμό αυτού του τρίτου εργολάβου, ο TA (ο παράγοντας απειλής) έφτασε στο εσωτερικό δίκτυο BHI μέσω μιας σύνδεσης VPN”, αναφέρει το
ειδοποίηση παραβίασης δεδομένων
.
“Την εβδομάδα μετά την αρχική πρόσβαση, το TA χρησιμοποίησε τον ίδιο παραβιασμένο λογαριασμό για να πραγματοποιήσει αναγνώριση του εσωτερικού δικτύου.”
Οι χειριστές Akira επισκέφτηκαν ξανά το δίκτυο στις 16 Ιουνίου 2023, για να απαριθμήσουν τα δεδομένα που θα κλαπούν. Μεταξύ 20 και 29 Ιουνίου, οι δράστες της απειλής έκλεψαν 767.000 αρχεία που περιείχαν 690 GB δεδομένων, συμπεριλαμβανομένης της βάσης δεδομένων του Windows Active Directory της BHI.
Τελικά, στις 29 Ιουνίου 2023, έχοντας κλέψει όλα τα δεδομένα που μπορούσαν από το δίκτυο της BHI, οι φορείς απειλών ανέπτυξαν το ransomware Akira σε όλες τις συσκευές για την κρυπτογράφηση αρχείων. Αυτό ήταν όταν η ομάδα IT της BHI συνειδητοποίησε ότι η εταιρεία είχε παραβιαστεί.
Η εταιρεία λέει ότι ενημέρωσε αμέσως τις αρχές επιβολής του νόμου και συνεργάστηκε με εξωτερικούς εμπειρογνώμονες για να τους βοηθήσει να ανακτήσουν τα επηρεαζόμενα συστήματα. Η θέση του ηθοποιού απειλών στο δίκτυο της BHI αφαιρέθηκε στις 7 Ιουλίου 2023.
Η εταιρεία λέει ότι μπόρεσε να ανακτήσει δεδομένα από μια λύση δημιουργίας αντιγράφων ασφαλείας cloud που δεν είχε επηρεαστεί από την επίθεση ransomware, έτσι ώστε να μπορούν να επαναφέρουν τα συστήματά τους χωρίς να πληρώσουν λύτρα.
Επιπλέον
, η BHI ενίσχυσε τα μέτρα ασφαλείας της επιβάλλοντας έλεγχο ταυτότητας πολλαπλών παραγόντων στην πρόσβαση VPN, εκτελώντας μια παγκόσμια επαναφορά κωδικού πρόσβασης, επεκτείνοντας την ανάπτυξη των εργαλείων EDR και AV για να καλύψει όλα τα τμήματα του περιβάλλοντός της και παροπλίζοντας παλαιού τύπου συστήματα.
Δεδομένα
που εκτέθηκαν στην επίθεση
Ενώ η BHI ήταν σε θέση να ανακτήσει τα συστήματά της, οι παράγοντες απειλών μπορούσαν να κλέψουν δεδομένα που περιείχαν προσωπικές πληροφορίες εργαζομένων.
Μια έρευνα που ολοκληρώθηκε την 1η Σεπτεμβρίου 2023, δείχνει ότι τα ακόλουθα δεδομένα κλάπηκαν:
- Πλήρες όνομα
- Ημερομηνια γεννησης
- Αριθμός Κοινωνικής Ασφάλισης (SSN)
- Πληροφορίες για την υγεία
Τη στιγμή που γράφουμε αυτό το άρθρο, το Akira ransomware δεν διέρρευσε δεδομένα που να ανήκουν στην BHI στην πύλη εκβιασμών του στον σκοτεινό ιστό και ούτε οι κυβερνοεγκληματίες ανακοίνωσαν την BHI στις επερχόμενες διαρροές δεδομένων τους.
Οι ειδοποιήσεις παραβίασης δεδομένων επισυνάπτουν οδηγίες σχετικά με την εγγραφή σε υπηρεσία προστασίας κλοπής ταυτότητας δύο ετών μέσω της Experian.
VIA:
bleepingcomputer.com
