Η Forward Air έπεσε θύμα επίθεσης από μια νέα ransomware συμμορία, που λέγεται Hades. Η επίθεση επηρέασε τις επιχειρηματικές δραστηριότητες της εταιρείας.
Η Forward Air είναι μια κορυφαία “trucking και air freight logistics εταιρεία”, με έδρα το Τενεσί των ΗΠΑ. Η εταιρεία απασχολεί πάνω από 4.300 άτομα.
Την περασμένη εβδομάδα, έγινε γνωστό ότι η Forward Air υπέστη μια κυβερνοεπίθεση, που την ανάγκασε να θέσει τα συστήματά της εκτός σύνδεσης, για να αποτρέψει την εξάπλωση της επίθεσης. Η ίδια η εταιρεία επιβεβαίωσε λόγο αργότερα το περιστατικό.
“Στις 15 Δεκεμβρίου, η Forward Air εντόπισε ένα περιστατικό ασφαλείας που επηρέασε τη λειτουργικότητα ορισμένων συστημάτων υπολογιστών. Σύμφωνα με τα πρωτόκολλα ασφαλείας μας, θέσαμε αμέσως τα συστήματά μας εκτός σύνδεσης, ειδοποιήσαμε τις αρχές επιβολής του νόμου και προσλάβαμε αρκετούς εμπειρογνώμονες για να μας βοηθήσουν στην εσωτερική έρευνα. Η IT ομάδα μας εργάζεται για να αποκαταστήσει τα συστήματα και τις υπηρεσίες, που έχουν επηρεαστεί, το συντομότερο δυνατό“, δήλωσε η Forward Air στο BleepingComputer.
Λέγεται ότι η ransomware επίθεση έχει οδηγήσει σε διακοπή των επιχειρηματικών δραστηριοτήτων, καθώς τα έγγραφα που απαιτούνται για την απελευθέρωση εμπορευμάτων από τα τελωνεία, ήταν αποθηκευμένα στα συστήματα που επηρεάστηκαν από την επίθεση.
Προς το παρόν, το επίσημο site της Forward Air βρίσκεται εκτός λειτουργίας και εμφανίζει απλώς ένα μήνυμα που ενημερώνει για το “περιστατικό ασφαλείας“.
Πίσω από την επίθεση βρίσκεται το νέο Hades ransomware
Λέγεται ότι η Forward Air επηρεάστηκε από μια νέα επιχείρηση ransomware γνωστή ως Hades.
Αρχικά, η Forward Air υπέβαλε ένα Form 8-K στην Επιτροπή Κεφαλαιαγοράς αποκαλύπτοντας ότι υπέστη ransomware επίθεση. Μεταξύ άλλων, η εταιρεία είπε:
“Στις 15 Δεκεμβρίου 2020, η Forward Air Corporation εντόπισε μια ransomware επίθεση που επηρέασε τα συστήματά της και προκάλεσε καθυστερήσεις στην παροχή υπηρεσιών σε πολλούς από τους πελάτες της. Αμέσως μετά τον εντοπισμό του συμβάντος, η εταιρεία ξεκίνησε έρευνα… Η εταιρεία έχει επίσης συνεργαστεί με τις αρμόδιες αρχές επιβολής του νόμου“.
Η Hades ransomware συμμορία άρχισε την επίθεση πριν από μια εβδομάδα.
Κατά την κρυπτογράφηση των συστημάτων ενός θύματος, το ransomware δημιουργεί ένα σημείωμα λύτρων, με την ονομασία “HOW-TO-DECRYPT- [extension] .txt”. Αυτό το σημείωμα έχει κάποιες ομοιότητες με αυτό που αφήνουν οι hackers του REvil ransomware.
Μέσα στο σημείωμα, το θύμα βρίσκει μια διεύθυνση URL ενός Tor site που είναι μοναδική για κάθε θύμα. Αυτή η διεύθυνση URL οδηγεί το θύμα σε ένα Tor site που περιέχει πληροφορίες σχετικά με την επίθεση και μια διεύθυνση Tox messenger που τα θύματα μπορούν να χρησιμοποιήσουν για να επικοινωνήσουν με τους εισβολείς. Αυτή η διεύθυνση είναι ίδια για όλα τα θύματα.
Σύμφωνα με το Bleeping Computer, οι hackers πίσω από το Hades ransomware, έχουν έναν λογαριασμό στο Twitter, τον οποίο πιθανότατα θα χρησιμοποιήσουν για να διαρρεύσουν αρχεία που κλέβουν κατά τη διάρκεια των επιθέσεων.
Προς το παρόν, δεν έχει βρεθεί δείγμα του νέου ransomware, ενώ επίσης, δεν είναι γνωστό το χρηματικό ποσό που ζητούν οι hackers για να αποκρυπτογραφήσουν τα συστήματα.
Πηγή: Bleeping Computer