Η εμπειρία μιας ransomware επίθεσης σύμφωνα με εταιρεία-θύμα: Η Toll Group για την επίθεση που δέχτηκε: Η αυστραλιανή εταιρεία μεταφορών, Toll Group, αποκάλυψε πληροφορίες για την υποκλοπή δεδομένων που υπέστη, στο δεύτερο κύμα επίθεσης ransomware αυτού του χρόνου.
«Οι έρευνες που διεξάγουμε έχουν δείξει ότι ο hacker απέκτησε πρόσβαση σε τουλάχιστον 1 εταιρικό διακομιστή. Αυτός ο διακομιστής περιέχει πληροφορίες για προηγούμενους και σημερινούς υπαλλήλους μας, και λεπτομέρειες για εμπορικές συμφωνίες με τρέχοντες και πρώην πελάτες μας» δήλωσε η εταιρεία.
«Ο εν λόγω διακομιστής δεν έχει σχεδιαστεί για αποθήκευση δεδομένων πελατών. Ο hacker είναι γνωστός για τη δημοσίευση κλεμμένων δεδομένων στο dark web. Από όσο ξέρουμε, αυτό σημαίνει ότι οι πληροφορίες δεν θα είναι εμφανείς στις συμβατικές διαδικτυακές πλατφόρμες. Αυτή τη στιγμή δεν γνωρίζουμε αν έχουν διαρρεύσει κάποια από τα δεδομένα αυτά.»
Η Toll αναφέρει ότι δεν έχουν πληρώσει τα λύτρα, και ότι έκλεισαν τα συστήματά τους για να αποφύγουν μία ακόμη εισβολή. Την προηγούμενη εβδομάδα, η εταιρεία έπεσε θύμα του Nefilim ransomware.
Ο διευθύνων σύμβουλος της εταιρείας, Thomas Knudsen, δήλωσε ότι το κυβερνοέγκλημα ήταν πάντα μια υπαρξιακή απειλή για οργανισμούς κάθε επιπέδου. «Αντιμετωπίζουμε μία σοβαρή και λυπηρή κατάσταση και ζητούμε συγγνώμη σε όσους επηρεάστηκαν. Μπορώ να διαβεβαιώσω τους πελάτες και τους υπαλλήλους μας πως κάνουμε το καλύτερο που μπορούμε για να φτάσουμε στην άκρη του νήματος και να διορθώσουμε αυτή την κατάσταση».
Μάλιστα, η εταιρεία έχει αρχίσει να αποκαθιστά και να ελέγχει τις εφαρμογές των πελατών, ενώ είχε ξεκινήσει ήδη από την περασμένη εβδομάδα τη διαδικασία αποκατάστασης μέσω των αντιγράφων ασφαλείας.
«Ενώ υπάρχουν καθυστερήσεις σε ορισμένα τμήματα του δικτύου, οι μεταφορές των φορτίων και οι παραδόσεις των εμπορευμάτων προχωρούν, με τηλεφωνικές κρατήσεις. Συνεχίζουμε να δίνουμε προτεραιότητα στη μεταφορά των αναγκαίων αντικειμένων, συμπεριλαμβανομένων των ιατρικών και φαρμακευτικών ειδών. Η πρόσβαση στην ηλεκτρονική αλληλογραφία έχει επανέλθει για τους υπαλλήλους που εργάζονται σε πλατφόρμες cloud.»
Αφού ενημερώθηκαν για την εισβολή την Παρασκευή 31 Ιανουαρίου, κινήθηκαν γρήγορα για να απενεργοποιήσουν τα συστήματα και να ξεκινήσουν την διεξοδική έρευνα. Το ransomware από το οποίο προσβλήθηκε η εταιρεία, ήταν μία παραλλαγή του Mailto ransomware, με την εταιρεία να απευθύνεται στο Australian Cyber Security Center.
«Η υποστήριξή μας περιλάμβανε την παροχή τεχνικών για να προσδιορίσουν τη φύση και την έκταση της έκθεσης, και να εξοπλίσει την εταιρεία με εξατομικευμένες συμβουλές για την εξομάλυνση του ζητήματος» ανέφερε η γενική διευθύντρια της ASD, Rachel Noble.
To Toll Group υποστηρίζει ότι θα χρειαστούν κάποιες εβδομάδες για να βρεθούν περισσότερες πληροφορίες.
