Η SeaChange International, ένας κορυφαίος προμηθευτής video delivery software με έδρα τις ΗΠΑ, επιβεβαίωσε ότι δέχτηκε ransomware επίθεση που διέκοψε τις λειτουργίες της, κατά το πρώτο τρίμηνο του 2020. Συγκεκριμένα, τον περασμένο Απρίλιο, η SeaChange έπεσε θύμα επίθεσης, πίσω από την οποίο βρισκόταν η συμμορία του REvil / Sodinokibi ransomware.
Κατά τη στιγμή της επίθεσης, οι χειριστές του ransomware δημοσίευσαν εικόνες των δεδομένων που ισχυρίζονται ότι έκλεψαν προτού κρυπτογραφήσουν τα συστήματα της εταιρείας. Η είδηση επιβεβαιώθηκε και από τους ειδικούς της υπηρεσίας κοινοποίησης παραβιάσεων δεδομένων Under the Breach. Οι χειριστές του REvil / Sodinokibi ransomware δημοσίευσαν εικόνες των δεδομένων της SeaChange στον ιστότοπο διαρροής κι έχουν δημιουργήσει μια σελίδα στην εταιρεία που περιέχει εικόνες των φερόμενων κλεμμένων εγγράφων.
Αυτές οι εικόνες περιλαμβάνουν ένα screenshot φακέλων από τον server της SeaChange που έχει παραβιαστεί από τη συμμορία, πιστοποιητικά ασφάλισης, άδειες driver και συνοδευτική επιστολή από πρόταση που απεστάλη στο Πεντάγωνο.
Μετά από μήνες σιωπής, η SeaChange επιβεβαίωσε την ransomware επίθεση σε μια τριμηνιαία έκθεση που υποβλήθηκε στην Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC), αναφέροντας πως το πρώτο τρίμηνο του 2020 έλαβε χώρα μία ransomware επίθεση στο IT σύστημά της. Η εταιρεία πρόσθεσε ακόμη, πως παρά το γεγονός ότι αυτή η επίθεση δεν είχε κάποιο σημαντικό αρνητικό αντίκτυπο στη λειτουργία της, προκάλεσε προσωρινή διακοπή. Έτσι, διεξάγεται επί του παρόντος έρευνα για να διαπιστωθεί εάν έχουν παραβιαστεί δεδομένα.
TikTok: Μήνυση από 13 πολιτείες γιατί βλάπτει τα παιδιά
Τι πρέπει να ελέγξετε πριν σαρώσετε ένα QR code;
Εξερεύνηση του Άρη από ανθρώπους έως το 2035
Ωστόσο, η εταιρεία δεν αποκάλυψε περαιτέρω λεπτομέρειες για την εν λόγω επίθεση, ενώ οι ειδικοί της εταιρείας κυβερνοασφάλειας BadPackets επεσήμαναν ότι οι εισβολείς ενδέχεται να έχουν εκμεταλλευτεί το Pulse Secure VPN CVE-2019-11510, για να θέσουν σε κίνδυνο την εταιρεία. Η BadPackets ανέφερε ότι η SeaChange είχε έναν Pulse Secure VPN server (https://vpn.schange.com) που ήταν ευάλωτος σε μία ευπάθεια που εντοπίζεται ως CVE-2019-11510, από τις 24 Απριλίου 2019 έως τις 24 Μαρτίου 2020.
Αξίζει να σημειωθεί ότι στη λίστα των πελατών της SeaChange συγκαταλέγονται μεταξύ άλλων, το BBC, η Cox, η Verizon, η AT&T, η Vodafone, η Direct TV, η Liberty Global και η Dish Network Corporation.
Ένα ακόμη θύμα του REvil ήταν η BancoEstado, μία από τις μεγαλύτερες τράπεζες της Χιλής, η οποία αναγκάστηκε πρόσφατα να κλείσει όλα τα υποκαταστήματά της, ύστερα από επίθεση που δέχτηκε από τη συμμορία του ransomware. Η λίστα των θυμάτων της συμμορίας είναι μεγάλη και περιλαμβάνει, μεταξύ άλλων, την Telecom Argentina, την Sri Lanka Telecom, την αυστραλιανή εταιρεία Lion, την Brown-Forman, την εταιρεία ηλεκτρικής ενέργειας “Light S.A.” και την Elexon.
Αφού απέκτησαν πρόσβαση στο δίκτυο μιας στοχοποιημένης επιχείρησης, οι χειριστές του REvil / Sodinokibi έκλεψαν ευαίσθητα κι εμπιστευτικά δεδομένα από servers και workstations, τα οποία χρησιμοποίησαν αργότερα ως “όπλο” για να πείσουν τα θύματα να πληρώσουν λύτρα, απειλώντας τα ότι θα διαρρεύσουν τις κλεμμένες πληροφορίες. Στη συνέχεια, κρυπτογράφησαν όλες τις συσκευές στο παραβιασμένο δίκτυο μιας εταιρείας, αφού απέκτησαν πρόσβαση διαχειριστή σε έναν ελεγκτή domain.