Η τεχνολογική εταιρεία Konica Minolta έπεσε θύμα ransomware επίθεσης στα τέλη Ιουλίου. Η επίθεση επηρέασε τις υπηρεσίες της εταιρείας για σχεδόν μια εβδομάδα.
Η Konica Minolta είναι μια γιαπωνέζικη πολυεθνική τεχνολογική εταιρεία με σχεδόν 44.000 υπαλλήλους και έσοδα πάνω από 9 δισεκατομμύρια δολάρια κατά το 2019. Η εταιρεία προσφέρει μια μεγάλη ποικιλία υπηρεσιών και προϊόντων που περιλαμβάνουν λύσεις εκτύπωσης, τεχνολογία υγειονομικής περίθαλψης, παροχή διαχειριζόμενων υπηρεσιών πληροφορικής σε επιχειρήσεις και πολλά άλλα.
Η ransomware επίθεση ξεκίνησε με διακοπή των υπηρεσιών της εταιρείας
Στις 30 Ιουλίου 2020, οι πελάτες άρχισαν να αναφέρουν ότι το site υποστήριξης και προώθησης προϊόντων της Konica Minolta δεν ήταν προσβάσιμο και έδειχνε το παρακάτω μήνυμα:
“Το MyKMBS portal πελατών της Konica Minolta δεν είναι διαθέσιμο προσωρινά. Εργαζόμαστε σκληρά για την επίλυση του ζητήματος και ζητάμε συγγνώμη για την αναστάτωση που μπορεί να σας προκάλεσε. Εάν χρειάζεστε άμεση βοήθεια για την εξυπηρέτηση, καλέστε τις Παγκόσμιες Υπηρεσίες Πελατών μας στο 1-800-456-5664 (ΗΠΑ) ή στο 1-800-263-4410 (Καναδάς)”.
Το site παρέμεινε εκτός λειτουργίας για σχεδόν μια εβδομάδα και οι πελάτες δήλωσαν ότι δεν μπορούσαν να πάρουν μια απλή απάντηση σχετικά με το τι προκάλεσε τη διακοπή λειτουργίας.
Ορισμένοι εκτυπωτές της Konica Minolta εμφάνισαν, επίσης, ένα σφάλμα.
Ορισμένοι πελάτες άρχισαν να λένε ότι ίσως μια παραβίαση ασφαλείας ήταν υπεύθυνη για τη διακοπή λειτουργίας του site και των υπηρεσιών.
Η Konica Minolta χτυπήθηκε από το RansomEXX ransomware
Λίγο αργότερα, κυκλοφόρησε ένα αντίγραφο του σημειώματος λύτρων που άφησαν οι hackers στην Konica Minolta.
Το σημείωμα ονομάζεται “!! KONICA_MINOLTA_README !!. Txt” και όπως φαίνεται, στοχεύει σαφώς την εταιρεία Konica Minolta.
Λέγεται ότι οι συσκευές της εταιρείας κρυπτογραφήθηκαν και στα αρχεία τοποθετήθηκε η επέκταση “.K0N1M1N0”.
Το σημείωμα για τα λύτρα φαίνεται να ανήκει σε ένα σχετικά νέο ransomware που ονομάζεται RansomEXX. Το συγκεκριμένο ransomware εντοπίστηκε στα τέλη Ιουνίου 2020, όταν χρησιμοποιήθηκε σε μια επίθεση στο Υπουργείο Μεταφορών του Τέξας.
Όπως συμβαίνει με τις περισσότερες ransomware επιθέσεις που στοχεύουν επιχειρήσεις, το RansomEXX δεν λειτουργεί αυτόματα. Οι hackers παραβιάζουν τα δίκτυα, και με την πάροδο του χρόνου, εξαπλώνονται σε άλλες συσκευές έως ότου αποκτήσουν τα credentials του διαχειριστή.
Μόλις αποκτήσουν δικαιώματα διαχειριστή, αναπτύσσουν το ransomware στο δίκτυο και κρυπτογραφούν όλες τις συσκευές του.
Σύμφωνα με το σημείωμα λύτρων του RansomEXX, η συγκεκριμένη ransomware επιχείρηση μάλλον δεν κλέβει δεδομένα πριν κρυπτογραφήσει τις συσκευές.