Η ransomware συμμορία Conti στόχευσε τα συστήματα της γνωστής εταιρείας κατασκευής IIoT chip Advantech και ζητά 12,5 εκατομμύρια δολάρια για να αποκρυπτογραφήσει τα συστήματα και να σταματήσει τη διαρροή δεδομένων που έκλεψε πριν την επίθεση.
Η Advantech είναι ένας από τους κορυφαίους κατασκευαστές IT προϊόντων και λύσεων, συμπεριλαμβανομένων υπολογιστών, συσκευών δικτύου, IoT, servers και λύσεων υγειονομικής περίθαλψης. Διαθέτει πάνω από 8.000 υπαλλήλους σε 92 μεγάλες πόλεις σε όλο τον κόσμο.
Η συμμορία του Conti ransomware ζήτησε από την Advantech 750 Bitcoins
Οι χειριστές του Conti ransomware επιτέθηκαν στο δίκτυο της Advantech και ζήτησαν λύτρα 750 BTC, δηλαδή περίπου 12.600.000 $ για την πλήρη αποκρυπτογράφηση των συστημάτων και για την αφαίρεση κλεμμένων δεδομένων από τους servers τους.
Σύμφωνα με το Bleeping Computer, οι hackers είπαν ότι είναι διατεθειμένοι να αποκρυπτογραφήσουν δύο από τα κρυπτογραφημένα αρχεία προτού λάβουν τα λύτρα, ως απόδειξη ότι το εργαλείο αποκρυπτογράφησής τους λειτουργεί.
Στις 21 Νοεμβρίου 2020, οι επιτιθέμενοι είχαν πει ότι θα εξέθεταν μέρος των κλεμμένων δεδομένων εάν η εταιρεία δεν απαντούσε μέχρι την επόμενη μέρα.
Στις 26 Νοεμβρίου, οι hackers άρχισαν να δημοσιεύουν τα δεδομένα της Advantech στο site διαρροής δεδομένων που διαθέτουν.
Η Conti ransomware συμμορία είπε, επίσης, ότι εάν η Advantech πληρώσει τα λύτρα, θα αφαιρεθούν αμέσως τα backdoors που είχαν αναπτυχθεί στο δίκτυο της εταιρείας και οι hackers θα δώσουν χρήσιμες συμβουλές ασφαλείας για τη σωστή ασφάλιση του δικτύου, ώστε να μειωθούν οι πιθανότητες μιας μελλοντικής επίθεσης/παραβίασης.
Ωστόσο, η εταιρεία Coveware που ασχολείται με διαπραγματεύσεις μετά από ransomware επίθεση, δήλωσε ότι πολλές συμμορίες ransomware δεν κρατούν το λόγο τους και δεν διαγράφουν τα δεδομένα που έχουν κλέψει από τα δίκτυα των θυμάτων.
Η Advantech δεν έχει μιλήσει δημόσια για τη ransomware επίθεση, αλλά το Bleeping Computer κατάφερε να δει ένα αντίγραφο του σημειώματος λύτρων που άφησαν οι hackers.
Conti ransomware
Το Conti ransomware εντοπίστηκε για πρώτη φορά στα τέλη Δεκεμβρίου 2019. Ωστόσο, οι περισσότερες επιθέσεις παρατηρήθηκαν τον Ιούνιο του 2020. Οι ερευνητές ανακάλυψαν ότι το ransomware έχει κοινό κώδικα με το γνωστό Ryuk Ransomware.
Οι χειριστές του Conti παραβιάζουν εταιρικά δίκτυα και προσπαθούν να αποκτήσουν πρόσβαση σε domain admin credentials, για να μπορούν να αναπτύξουν τα ransomware payloads που χρησιμοποιούνται για την κρυπτογράφηση συσκευών.
Τέλος, η συμμορία Conti άνοιξε το δικό της site διαρροής δεδομένων πριν λίγους μήνες για να εκθέτει τα δεδομένα των θυμάτων που δεν πληρώνουν λύτρα.
Πηγή: Bleeping Computer