Η Artech Information Systems, μία από τις μεγαλύτερες IT staffing εταιρείες των ΗΠΑ, αποκάλυψε ότι υπέστη data breach, το οποίο προκλήθηκε ύστερα από ransomware επίθεση που επηρέασε ορισμένα από τα συστήματά της στις αρχές του έτους. Πρόκειται για μια ιδιωτική εταιρεία με εκτιμώμενη ετήσια απόδοση 810.000.000$ το 2019 και περίπου 11.000 υπαλλήλους και συμβούλους σε 40 πολιτείες των ΗΠΑ, τον Καναδά, την Κίνα και την Ινδία.
Η Artech παρέχει λύσεις προσωπικού και εργατικού δυναμικού, διαχείριση προγραμμάτων και κυβερνητικές υπηρεσίες, με τη λίστα των πελατών της να περιλαμβάνει περισσότερους από 80 πελάτες που κατατάσσονται στο Fortune 500, καθώς και ομοσπονδιακές οντότητες των ΗΠΑ.
Η εταιρεία ανακάλυψε την ransomware επίθεση, αφότου βρήκε ransomware σε ορισμένα συστήματά της, έχοντας παρατηρήσει αναφορές περί ασυνήθιστης δραστηριότητας που σχετίζονται με έναν από τους λογαριασμούς των υπαλλήλων της.
Μια επιστολή κοινοποίησης του data breach προς τα επηρεαζόμενα άτομα αναφέρει πως την ίδια μέρα η Artech προσέλαβε μια κορυφαία εταιρεία εγκληματολογικών ερευνών για να αξιολογήσει την ασφάλεια των συστημάτων της και να επιβεβαιώσει τη φύση και το εύρος του περιστατικού ασφαλείας. Στα μέσα Ιανουαρίου, η έρευνα διαπίστωσε ότι κάποιος απέκτησε μη εξουσιοδοτημένη πρόσβαση σε συστήματα της Artech, στο διάστημα μεταξύ 5 Ιανουαρίου 2020 και 8 Ιανουαρίου 2020.
Το BleepingComputer έμαθε για την επίθεση στους servers της Artech στις 11 Ιανουαρίου 2020, όταν η συμμορία του Revil / Sodinokibi ransomware διέρρευσε 337MB από τα αρχεία που ισχυρίστηκε πως έκλεψε από τους servers της εταιρείας, επισημαίνοντας πως αυτό είναι ένα μικρό μόνο μέρος των όσων έκλεψε. Επιπλέον, οι χειριστές του Revil απείλησαν πως αν η εταιρεία δεν προβεί στις απαραίτητες ενέργειες, θα πουλήσουν τα υπόλοιπα δεδομένα που συγκέντρωσαν. Μεταξύ των δεδομένων περιλαμβάνονται εμπορικά, οικονομικά και προσωπικά στοιχεία.
Ένα email που κοινοποιήθηκε στο BleepingComputer από υπάλληλο της Artech αναφέρει ότι η εταιρεία έπρεπε να κλείσει όλα τα συστήματά της, αλλά μπόρεσε να επαναφέρει κρίσιμες υπηρεσίες και servers από τα backup δεδομένα.
Το REvil είναι μια ransomware-as-a-service (RaaS) επιχείρηση που παραβιάζει εταιρικά δίκτυα μέσω εκτεθειμένων remote desktop υπηρεσιών, καθώς και διαχειριστές παρόχων υπηρεσιών, χρησιμοποιώντας εκμεταλλεύσεις και spam emails. Μόλις αποκτήσουν πρόσβαση στο δίκτυο ενός θύματος, οι χειριστές του REvil κλέβουν ευαίσθητα κι εμπιστευτικά δεδομένα για να τα χρησιμοποιήσουν αργότερα ως “όπλο”, ώστε να πείσουν τα θύματά τους να πληρώσουν λύτρα, για να μη διαρρεύσουν τις κλεμμένες πληροφορίες. Επιπλέον, μόλις αποκτήσουν πρόσβαση διαχειριστή σε έναν ελεγκτή domain και κλέψουν δεδομένα από servers και workstations, οι χειριστές του REvil αναπτύσσουν ransomware payloads σε όλους τους υπολογιστές που βρίσκονται στο παραβιασμένο δίκτυο.
Η Artech ανακάλυψε προσωπικές, υγειονομικές και οικονομικές πληροφορίες πολλών ατόμων που είναι αποθηκευμένες στα παραβιασμένα συστήματα. Γύρω στις 25 Ιουνίου 2020 που η εταιρεία ολοκλήρωσε την έρευνα για τη φερόμενη επίθεση, μπόρεσε να προσδιορίσει τα άτομα των οποίων οι πληροφορίες εκτέθηκαν στο data breach. Σε αυτές τις πληροφορίες εκτιμάται ότι περιλαμβάνονται τα εξής: ονόματα, αριθμοί κοινωνικής ασφάλισης, ιατρικές πληροφορίες, πληροφορίες ασφάλισης υγείας, οικονομικές πληροφορίες, στοιχεία πιστωτικών καρτών, αριθμοί άδειας οδήγησης / αριθμοί ταυτότητας, αριθμοί διαβατηρίου, αριθμοί βίζας, ψηφιακές υπογραφές, usernames και κωδικοί πρόσβασης. Ωστόσο, αξίζει να σημειωθεί πως ο συνδυασμός των εκτεθειμένων πληροφοριών διαφέρει για κάθε επηρεαζόμενο άτομο.
Μετά την ανακάλυψη της επίθεσης, η Artech άλλαξε τα credentials για να διασφαλίσει τα συστήματά της, ενώ άρχισε επίσης να συνεργάζεται με εξωτερικούς εμπειρογνώμονες ασφαλείας για τη βελτίωση των υφιστάμενων διαδικασιών και πρωτοκόλλων ασφαλείας της.
Τέλος, η Artech συνιστά στα επηρεαζόμενα άτομα που έλαβαν την ειδοποίηση σχετικά με το data breach να παρακολουθούν τις δηλώσεις λογαριασμού τους για ύποπτη δραστηριότητα και να βρίσκονται συνεχώς σε εγρήγορση για τυχόν περιστατικά απάτης ή απόπειρες κλοπής ταυτότητας. Η εταιρεία τούς παρέχει επίσης δωρεάν υπηρεσίες παρακολούθησης καρτών και προστασίας ταυτότητας μέσω της Kroll.
