Η ομάδα που βρίσκεται πίσω από το Nefilim ransomware άρχισε να δημοσιεύει μη κρυπτογραφημένα αρχεία, τα οποία έκλεψε από μία θυγατρική του Ομίλου Dussmann, κατά τη διάρκεια πρόσφατης επίθεσης. Ο Όμιλος Dussmann είναι ο μεγαλύτερος πάροχος πολλαπλών υπηρεσιών στη Γερμανία, με θυγατρικές που εστιάζουν στη διαχείριση εγκαταστάσεων, την εταιρική φροντίδα παιδιών, την νοσηλευτική φροντίδα και τη φροντίδα ηλικιωμένων, ενώ παρέχει λύσεις επιχειρηματικών συστημάτων, όπως HVAC, ηλεκτρικές εργασίες και ανελκυστήρες. Ο Όμιλος επιβεβαίωσε ότι μία από τις θυγατρικές του, η Dresdner Kühlanlagenbau GmbH (DKA), υπέστη πρόσφατα ransomware επίθεση, η οποία είχε ως αποτέλεσμα την κλοπή και διαρροή data που ήταν αποθηκευμένα στα συστήματα της εταιρείας.
Οι χειριστές του Nefilim ανέφεραν ότι κατά τη διάρκεια της επίθεσής τους στη DKA, έκλεψαν μη κρυπτογραφημένα αρχεία πριν αναπτύξουν το ransomware. Πρόσθεσαν, ακόμη, πως χρησιμοποιούν τα κλεμμένα data εναντίον των θυμάτων, ώστε να τα αναγκάσουν να πληρώσουν λύτρα, απειλώντας τα για διαρροή των data σε dark forums. Οι χειριστές του Nefilim ransomware δημοσίευσαν στο site τους 14 GB κλεμμένων αρχείων. Αυτά τα αρχεία φαίνεται να περιέχουν διάφορα έγγραφα, συμπεριλαμβανομένων εγγράφων Word, εικόνων, λογιστικών εγγράφων και σχεδίων AutoCAD.
Ο Όμιλος Dussmann, αφού έμαθε για τη διαρροή, επιβεβαίωσε στο BleepingComputer ότι η θυγατρική του, DKA, παραβιάστηκε και κλάπηκαν αρχεία. Συγκεκριμένα, ο Όμιλος δήλωσε πως η επίθεση είχε ως στόχο την Dresdner Kühlanlagenbau GmbH (DKA), η οποία απασχολεί 570 υπαλλήλους, ενώ κατά τη διάρκεια της επίθεσης τα data της εταιρείας κρυπτογραφήθηκαν και αντιγράφηκαν.
Η Michaela Mehls, επικεφαλής εταιρικών επικοινωνιών του Ομίλου Dussmann, δήλωσε πως μετά την παραβίαση, έκλεισαν προληπτικά οι servers της εταιρείας. Επιπλέον, έχουν ενημερωθεί οι αρχές προστασίας δεδομένων και το Κρατικό Γραφείο Ποινικής Έρευνας στη Σαξονία και έχουν υποβληθεί κατηγορίες. Πρόσθεσε, ακόμη, πως η DKA βρίσκεται συνεχώς σε επικοινωνία με τις αρχές και τους εμπειρογνώμονες κυβερνοασφάλειας. Επίσης, η εταιρεία έχει ήδη ενημερώσει τους πελάτες και τους υπαλλήλους της για το περιστατικό ασφαλείας και την κλοπή data, ενώ συνεχίζουν να διεξάγονται έρευνες για πιο σαφή συμπεράσματα.
Οι χειριστές του Nefilim ransomware ανέφεραν στο BleepingComputer ότι κρυπτογράφησαν τέσσερα domains και έκλεψαν περίπου 200 GB αρχείων. Ωστόσο, δεν είναι ακόμη γνωστό πώς οι χειριστές του Nefilim απέκτησαν πρόσβαση στο δίκτυο της DKA. Την ίδια στιγμή, η εταιρεία Bad Packets δεν μπόρεσε να βρει ευάλωτες πύλες VPN ή συσκευές στο δίκτυό τους. Δεδομένου ότι οι εκτεθειμένοι remote desktop servers φαίνεται να είναι η αιτία για το 70-80% όλων των παραβιάσεων δικτύων, οι εισβολείς πιθανότατα κατάφεραν να αποκτήσουν πρόσβαση μέσω εκτεθειμένου server ή μέσω phishing επίθεσης.
Τί πρέπει να κάνουν οι εταιρείες για να προστατευτούν από ενδεχόμενη ransomware επίθεση;
Για την προστασία ενός δικτύου από παραβιάσεις που πραγματοποιούνται κατά τη διάρκεια ransomware επιθέσεων, οι εταιρείες χρειάζονται να ακολουθήσουν μία πολυεπίπεδη προσέγγιση για την ασφάλεια των συστημάτων τους. Είναι σημαντικό να διασφαλίζουν ότι όλοι οι RDP servers είναι προσβάσιμοι μόνο μέσω εταιρικού VPN. Tα ransomware στοχεύουν συνήθως πύλες VPN και συσκευές για να αποκτήσουν πρόσβαση σε εταιρικά και κυβερνητικά δίκτυα. Με τις πύλες VPN να είναι πλέον εκτεθειμένες, πρέπει επίσης αυτές να ασφαλιστούν και να ενισχυθούν με τις πιο πρόσφατες διαθέσιμες ενημερώσεις ασφαλείας και firmware. Τέλος, το MFA πρέπει να είναι ενεργοποιημένο για εταιρικούς λογαριασμούς, ενώ τα αρχεία καταγραφής συμβάντων των Windows θα πρέπει να παρακολουθούνται για ασυνήθιστες καταχωρήσεις.
