Η γερμανική εταιρεία Pilz, μια από τις μεγαλύτερες εταιρείες παραγωγής εργαλείων αυτοματισμού παγκοσμίως, ανακοίνωσε ότι έπεσε θύμα ransomware επίθεσης με αποτέλεσμα τη διακοπή της λειτουργίας της για περισσότερο από μία εβδομάδα.
Η εταιρεία ανακοίνωσε το περιστατικό στο website της: “Από την Κυριακή, 13 Οκτωβρίου 2019, όλοι οι servers και τα PC workstations, έχουν επηρεαστεί”.
“Για προληπτικούς λόγους, η εταιρεία απέσυρε όλα τα συστήματα υπολογιστών από το δίκτυο και εμπόδισε την πρόσβαση στο εταιρικό δίκτυο”.
Η Pilz έχει εργοστάσια σε 76 χώρες. Σύμφωνα με την εταιρεία, επηρεάστηκαν όλα από την επίθεση και αποσυνδέθηκαν από το κύριο δίκτυο. Έτσι δεν ήταν σε θέση να στείλουν παραγγελίες ή να ελέγξουν οτιδήποτε σχετικό με τους πελάτες τους.
Χρειάστηκαν τρεις ημέρες για την ανάκτηση της πρόσβασης στην υπηρεσία ηλεκτρονικού ταχυδρομείου και άλλες τρεις για την ανάκτηση στα εργοστάσια όλων των χωρών. Ακόμα χειρότερα, η δυνατότητα πρόσβασης στις παραγγελίες και στο σύστημα παράδοσης προϊόντων ανακτήθηκε χθες.
Η Pilz δήλωσε ότι η διαδικασία παραγωγής δεν επηρεάστηκε από το ransomware αλλά δεν υπήρχε η δυνατότητα ελέγχου των παραγγελιών, με αποτέλεσμα να μην μπορεί να λειτουργήσει σωστά.
BITPAYMER
Ο Maarten van Dantzig, ένας αναλυτής της FoxIT, ανακάλυψε ότι το ransomware που μόλυνε τα συστήματα της γερμανικής εταιρείας είναι το BitPaymer, το οποίο έχει στοχεύσει έναν μεγάλο αριθμό εταιρειών.
Ο αναλυτής βρήκε και εξέτασε ένα δείγμα του BitPaymer στο VirusTotal. Το σημείωμα για τα λύτρα περιείχε στοιχεία που σχετίζονταν με την Pilz.
Το BitPaymer ransomware εμφανίστηκε πρώτη φορά το καλοκαίρι του 2017 και έχει χρησιμοποιηθεί σε πολλές επιθέσεις σε νοσοκομεία της Σκωτίας, σε δύο πόλεις της Αλάσκας (Matanuska-Susitna και Valdez), στην εταιρεία Arizona Beverages κλπ.
Οι δημιουργοί του BitPaymer επιλέγουν πάντα στόχους «υψηλής αξίας» με σκοπό να κερδίσουν μεγάλα χρηματικά ποσά.
Το BitPaymer, μέχρι τώρα, διανεμήθηκε αποκλειστικά μέσω του botnet Dridex. Η ESET υποστήριξε το 2018 ότι οι δημιουργοί του Dridex σχεδίασαν και το ransomware.
Σύμφωνα με πολλούς ειδικούς, οι hackers πίσω από το Dridex επιτίθενται πρώτα με το trojan Dridex και στη συνέχεια μολύνουν τα συστήματα μεγάλων εταιρειών με το BitPaymer.
Ο Van Dantzig δήλωσε ότι αυτό το ransomware έχει προσφέρει πολλά κέρδη στους επιτιθέμενους αφού έχουν απαιτήσει και πάνω από 1 εκατομμύριο δολάρια για την αποκρυπτογράφηση των αρχείων των θυμάτων.
Ο συνδυασμός botnet-ransomware είναι πολύ δημοφιλής στις μέρες μας. Τα botnet Emotet και TrickBot έχουν, επίσης, συνδυαστεί με το Ryuk ransomware.
Σε αντίθεση με άλλα ransomware, που συναντώνται καθημερινά σε επιθέσεις, το BitPaymer επιτίθεται περιστασιακά. Αυτό συμβαίνει γιατί επιλέγονται προσεκτικά συγκεκριμένοι στόχοι και όχι οποιαδήποτε εταιρεία. Στόχος είναι οι εταιρείες υψηλού προφίλ.
Ο αναλυτής Van Dantzig είπε πως για να αποκατασταθούν τα δίκτυα μιας εταιρείας που έχουν μολυνθεί με το BitPaymer, οι διαχειριστές συστημάτων θα πρέπει επίσης να αφαιρέσουν το trojan Dridex. Αν δεν το κάνουν θα μολυνθούν ξανά.
