Ο ελβετικός γίγαντας της τεχνολογίας ηλεκτροκίνησης και αυτοματισμού ABB επιβεβαίωσε ότι υπέστη παραβίαση δεδομένων μετά από επίθεση ransomware.
Η ABB απασχολεί περισσότερους από 105.000 υπαλλήλους και είχε έσοδα 29,4 δισεκατομμυρίων δολαρίων για το 2022. Στις 7 Μαΐου 2023, η ελβετική πολυεθνική εταιρεία, κορυφαίος πάροχος τεχνολογίας ηλεκτροκίνησης και αυτοματισμού, υπέστη επίθεση στον κυβερνοχώρο, η οποία φέρεται να επηρέασε τις επιχειρηματικές της δραστηριότητες.
Δείτε επίσης: Ransomware: Οι πληρωμές των λύτρων συνεχίζουν να είναι η λάθος προσέγγιση
Η είδηση της επίθεσης αναφέρθηκε για πρώτη φορά από το BleepingComputer, το οποίο γνώριζε ότι η επίθεση είχε επηρεάσει το Windows Active Directory της εταιρείας, με εκατοντάδες συσκευές να έχουν μολυνθεί.
Το BleepingComputer ανέφερε ότι η επίθεση πραγματοποιήθηκε από την ομάδα Black Basta ransomware- ορισμένα από τα project καθυστέρησαν και η επίθεση επηρέασε ορισμένα από τα εργοστάσια της εταιρείας.
Ωστόσο, η BlackBasta δεν πρόσθεσε το όνομα της εταιρείας στην ιστοσελίδα της, γεγονός που υποδηλώνει ότι βρίσκεται σε εξέλιξη διαπραγμάτευση ή ότι έχουν καταβληθεί τα λύτρα, όπως ανέφερε ο δημοφιλής ειδικός σε θέματα κυβερνοασφάλειας Kevin Beaumont.
Μόλις ανακαλύφθηκε η παραβίαση της ασφάλειας, η ABB έκλεισε τις συνδέσεις VPN με τους πελάτες της για να αποτρέψει την εξάπλωση της απειλής.
Σύμφωνα με δελτίο τύπου που δημοσίευσε η εταιρεία, οι απειλητικοί φορείς είχαν μη εξουσιοδοτημένη πρόσβαση σε ορισμένα συστήματα της ABB, ανέπτυξαν ένα ransomware payload και έκλεψαν ορισμένα δεδομένα.
Η ABB πρόσθεσε ότι η έρευνα βρίσκεται ακόμη σε εξέλιξη και ότι συνεργάζεται με εμπειρογνώμονες σε θέματα ασφάλειας στον κυβερνοχώρο για να προσδιορίσει την έκταση των επιπτώσεων.
Η ABB επιβεβαίωσε ότι οι επιτιθέμενοι είχαν πρόσβαση σε τμήματα του δικτύου της και χρησιμοποίησαν ένα ransomware για να κλέψουν ορισμένα δεδομένα. Οι επιτιθέμενοι είχαν πρόσβαση σε περιορισμένο αριθμό server και endpoint.
Δείτε επίσης: Πως κλέβει δεδομένα η νέα επίθεση Hot Pixels;
Η εταιρεία έχει ανακάμψει πλήρως από την παραβίαση της ασφάλειας και όλα τα εργοστάσια λειτουργούν.
«Όλες οι βασικές υπηρεσίες και συστήματα της ABB είναι σε λειτουργία, όλα τα εργοστάσια λειτουργούν και η εταιρεία συνεχίζει να εξυπηρετεί τους πελάτες της. Η εταιρεία συνεχίζει επίσης να αποκαθιστά τυχόν εναπομείνασες επηρεαζόμενες υπηρεσίες και συστήματα και ενισχύει περαιτέρω την ασφάλεια των συστημάτων της», αναφέρει το δελτίο τύπου.
Η εταιρεία θα μοιραστεί πληροφορίες σχετικά με το περιστατικό, συμπεριλαμβανομένων των δεικτών παραβίασης. Το Black Basta είναι ενεργό από τον Απρίλιο του 2022- όπως και άλλες επιχειρήσεις ransomware, εφαρμόζει ένα μοντέλο επίθεσης με διπλό εκβιασμό.
Τον Νοέμβριο του 2022, ερευνητές από την Sentinel Labs ανέφεραν ότι βρήκαν στοιχεία που συνδέουν τη συμμορία Black Basta ransomware με την ομάδα hacking FIN7 η οποία έχει οικονομικά κίνητρα.
Τον Νοέμβριο του 2022, οι εμπειρογνώμονες της ομάδας του Παγκόσμιου Κέντρου Επιχειρήσεων Ασφαλείας (GSOC) της Cybereason παρατήρησαν μια αύξηση των μολύνσεων από το Qakbot στο πλαίσιο μιας συνεχιζόμενης επιθετικής εκστρατείας με κακόβουλο λογισμικό Qakbot που οδηγεί σε μολύνσεις από το Black Basta ransomware στις ΗΠΑ.
Μέσα σε δύο εβδομάδες, οι εμπειρογνώμονες παρατήρησαν επιθέσεις εναντίον περισσότερων από δέκα πελατών με έδρα τις ΗΠΑ.
Δείτε επίσης: Το Qbot malware κάνει hijack το Windows WordPad για να αποφύγει τον εντοπισμό
Η αλυσίδα επίθεσης ξεκινά με μια μόλυνση QBot. Οι χειριστές χρησιμοποιούν το εργαλείο post-exploitation Cobalt Strike για να καταλάβουν το μηχάνημα και να αναπτύξουν το ransomware Black Basta. Οι επιθέσεις ξεκίνησαν με ένα spam/phishing email που περιέχει κακόβουλους συνδέσμους URL.
Οι ερευνητές παρατήρησαν ότι, μόλις απέκτησε πρόσβαση στο δίκτυο, ο απειλητικός παράγοντας κινήθηκε εξαιρετικά γρήγορα. Σε ορισμένες περιπτώσεις που παρατήρησε η Cybereason, ο δράστης απέκτησε προνόμια admin domain σε λιγότερο από δύο ώρες και προχώρησε στην ανάπτυξη ransomware μέσα σε 12 ώρες.
Πηγή πληροφοριών: securityaffairs.com
