Η θυγατρική κατασκευής μοτοσυκλετών της Yamaha Motor στις Φιλιππίνες επλήγη από επίθεση ransomware τον περασμένο μήνα, με αποτέλεσμα την κλοπή και τη διαρροή προσωπικών στοιχείων ορισμένων εργαζομένων.
Ο κατασκευαστής μοτοσικλετών διερευνά το περιστατικό με τη βοήθεια εξωτερικών εμπειρογνωμόνων ασφαλείας που προσλήφθηκαν μετά τον εντοπισμό της παραβίασης για πρώτη φορά στις 25 Οκτωβρίου.
“Ένας από τους διακομιστές που διαχειρίζεται [..] Η θυγατρική κατασκευής και πωλήσεων μοτοσικλετών στις Φιλιππίνες, Yamaha Motor Philippines, Inc. (YMPH), είχε πρόσβαση χωρίς εξουσιοδότηση από τρίτο μέρος και επλήγη από επίθεση ransomware και επιβεβαιώθηκε μερική διαρροή προσωπικών πληροφοριών των εργαζομένων που αποθηκεύονται από την εταιρεία, «Yamaha είπε.
“Η YMPH και το Κέντρο Πληροφορικής στα κεντρικά γραφεία της Yamaha Motor δημιούργησαν μια ομάδα αντιμέτρων και εργάζονται για να αποτρέψουν περαιτέρω ζημιές ενώ διερευνούν το εύρος της πρόσκρουσης κ.λπ., και εργάζονται για ανάκτηση μαζί με πληροφορίες από μια εξωτερική εταιρεία ασφάλειας Διαδικτύου.”
Η Yamaha είπε ότι οι παράγοντες της απειλής παραβίασαν έναν μόνο διακομιστή στη Yamaha Motor Philippines και ότι η επίθεσή τους δεν επηρέασε τα κεντρικά γραφεία ή άλλες θυγατρικές εντός του ομίλου Yamaha Motor.
Η εταιρεία ανέφερε επίσης το περιστατικό στις αρμόδιες αρχές των Φιλιππίνων και αυτή τη στιγμή εργάζεται για την εκτίμηση της πλήρους έκτασης των επιπτώσεων της επίθεσης.
Ένας εκπρόσωπος της Yamaha Motor δεν ήταν άμεσα διαθέσιμος για σχόλιο όταν επικοινώνησε η BleepingComputer νωρίτερα σήμερα.
Παραβίαση που διεκδικήθηκε από τη συμμορία INC Ransom
Ενώ η εταιρεία δεν έχει ακόμη αποδώσει την επίθεση σε συγκεκριμένη επιχείρηση, η συμμορία INC Ransom ανέλαβε την επίθεση και διέρρευσε αυτό που ισχυρίζεται ότι είναι δεδομένα που έχουν κλαπεί από το δίκτυο της Yamaha Motor Philippines.
Οι φορείς απειλών πρόσθεσαν την εταιρεία στον ιστότοπο διαρροής σκοτεινού ιστού την Τετάρτη, 15 Νοεμβρίου και έκτοτε έχουν δημοσιεύσει πολλά αρχεία αρχείων με περίπου 37 GB φερόμενα κλεμμένα δεδομένα που περιέχουν πληροφορίες ταυτότητας υπαλλήλου, αρχεία αντιγράφων ασφαλείας και εταιρικές και πληροφορίες πωλήσεων, μεταξύ άλλων.
Η INC Ransom εμφανίστηκε Αύγουστος 2023 και έχει στοχεύσει οργανισμούς που καλύπτουν διάφορους τομείς όπως η υγειονομική περίθαλψη, η εκπαίδευση και η κυβέρνηση σε επιθέσεις διπλού εκβιασμού.
Από τότε, η INC Ransom έχει προσθέσει 30 θύματα στον ιστότοπό της με διαρροές. Ωστόσο, ο αριθμός των οργανισμών που παραβιάστηκαν είναι πιθανώς μεγαλύτερος, καθώς μόνο εκείνοι που αρνούνται να πληρώσουν τα λύτρα αντιμετωπίζουν δημόσια αποκάλυψη και επακόλουθες διαρροές δεδομένων.
Οι φορείς απειλών αποκτούν πρόσβαση στα δίκτυα των στόχων τους μέσω email ψαρέματος, αλλά έχουν επίσης παρατηρηθεί χρησιμοποιώντας εκμεταλλεύσεις Citrix NetScaler CVE-2023-3519, σύμφωνα με SentinelOne.
Αφού αποκτήσουν πρόσβαση, μετακινούνται πλευρικά μέσω του δικτύου, πρώτα συλλέγοντας και κατεβάζοντας ευαίσθητα αρχεία για μόχλευση λύτρων και στη συνέχεια αναπτύσσοντας ωφέλιμα φορτία ransomware για την κρυπτογράφηση παραβιασμένων συστημάτων.
Επιπλέον, τα αρχεία INC-README.TXT και INC-README.HTML απορρίπτονται αυτόματα σε κάθε φάκελο με κρυπτογραφημένα αρχεία.
Στα θύματα εκδίδεται τελεσίγραφο 72 ωρών για να εμπλακούν με τους παράγοντες απειλών για διαπραγματεύσεις, υπό την απειλή της συμμορίας ransomware που αποκαλύπτει δημόσια όλα τα δεδομένα που έχουν κλαπεί στο ιστολόγιό τους που διαρρέει.
Όσοι συμμορφώνονται με το αίτημα λύτρων λαμβάνουν επίσης διαβεβαιώσεις ότι θα βοηθηθούν στην αποκρυπτογράφηση των αρχείων τους.
Επιπλέον, οι εισβολείς δεσμεύονται να παράσχουν λεπτομέρειες σχετικά με την αρχική μέθοδο επίθεσης, καθοδήγηση για την ασφάλεια των δικτύων τους, στοιχεία καταστροφής δεδομένων και «εγγύηση» ότι δεν θα δεχτούν ξανά επίθεση από τους χειριστές INC Ransom.
VIA: bleepingcomputer.com
