Η Johnson Controls International έπεσε θύμα επίθεσης ransomware (Dark Angels) που οδήγησε στην κρυπτογράφηση πολλών συσκευών της εταιρείας, συμπεριλαμβανομένων των VMware ESXi servers. Η επίθεση επηρέασε τις δραστηριότητες τόσο της εταιρείας όσο και των θυγατρικών της.
Η Johnson Controls είναι ένας πολυεθνικός όμιλος που αναπτύσσει και κατασκευάζει βιομηχανικά συστήματα ελέγχου, εξοπλισμό ασφαλείας, κλιματιστικά και εξοπλισμό πυρασφάλειας. Απασχολεί 100.000 άτομα μέσω των εταιρικών δραστηριοτήτων και των θυγατρικών της, συμπεριλαμβανομένων των York, Tyco, Luxaire, Coleman, Ruskin, Grinnel και Simplex.
Ransomware επίθεση
Σύμφωνα με το BleepingComputer, η Johnson Controls υπέστη επίθεση ransomware, αφού αρχικά παραβιάστηκαν τα γραφεία της στην Ασία. Η επίθεση έλαβε χώρα το Σαββατοκύριακο και ανάγκασε την εταιρεία να κλείσει τμήματα των IT συστημάτων της.
Από τότε, πολλές από τις θυγατρικές της, συμπεριλαμβανομένων των York, Simplex και Ruskin, έχουν αρχίσει να εμφανίζουν μηνύματα σε σελίδες σύνδεσης ιστοτόπων και customer portals, που κάνουν λόγο για διακοπή λειτουργίας τεχνικής φύσης.
 που οδήγησε στην κρυπτογράφηση πολλών συσκευών){kind=link}
“Αυτή τη στιγμή αντιμετωπίζουμε διακοπές IT που ενδέχεται να περιορίσουν ορισμένες εφαρμογές πελατών, όπως το Simplex Customer Portal“, αναφέρει ένα μήνυμα στον ιστότοπο της Simplex.
“Μετριάζουμε πιθανές επιπτώσεις στις υπηρεσίες μας και θα παραμείνουμε σε επικοινωνία με τους πελάτες καθώς επιλύονται αυτές οι διακοπές“.
Πελάτες της York, μιας άλλης θυγατρικής της Johnson Controls, αναφέρουν ότι η εταιρεία τούς είπε ότι υπάρχουν προβλήματα λόγω κυβερνοεπίθεσης.
“Το σύστημά τους κατέρρευσε το Σαββατοκύριακο. Η παραγωγή και τα πάντα έχουν πέσει“, έγραψε ένας πελάτης της York στο Reddit.
“Μίλησα με τον εκπρόσωπό μας και είπε ότι κάποιος τους χάκαρε“, δημοσίευσε ένας άλλος πελάτης.
Ο ερευνητής απειλών της Nextron Systems, Gameel Ali, δημοσίευσε στο Twitter ένα δείγμα VMware ESXi encryptor της ransomware συμμορίας Dark Angels, που περιείχε ένα σημείωμα λύτρων εναντίον της Johnson Controls.
Το BleepingComputer αναφέρει ότι το σημείωμα λύτρων συνδέεται με μια προσπάθεια διαπραγμάτευσης μεταξύ hacker και εταιρείας. Η συμμορία ransomware φέρεται να ζητά 51 εκατομμύρια δολάρια για να παράσχει ένα εργαλείο αποκρυπτογράφησης και να διαγράψει τα δεδομένα που έκλεψε από την Johnson Controls.
Οι hackers ισχυρίζονται ότι έχουν κλέψει πάνω από 27 TB εταιρικών δεδομένων και ότι έχουν κρυπτογραφήσει VMWare ESXi virtual machines της εταιρείας.
Η Johnson Controls επιβεβαίωσε τη ransomware επίθεση σε μια κατάθεση 8-K στην SEC. Ένα απόσπασμα από την κατάθεση:
“Η Johnson Controls International plc (the “Company”) αντιμετώπισε διακοπές σε τμήματα της εσωτερικής της IT υποδομής και των εφαρμογών της ως αποτέλεσμα περιστατικού κυβερνοασφάλειας. Αμέσως μετά τον εντοπισμό του ζητήματος, η Εταιρεία ξεκίνησε έρευνα με τη βοήθεια κορυφαίων εξωτερικών εμπειρογνωμόνων στον τομέα της ασφάλειας στον κυβερνοχώρο και επίσης συνεργάζεται με τους ασφαλιστές της. Η Εταιρεία συνεχίζει να αξιολογεί ποιες πληροφορίες επηρεάστηκαν και εκτελεί το incident management and protection plan της, συμπεριλαμβανομένης της εφαρμογής μέτρων αποκατάστασης για τον μετριασμό των επιπτώσεων του συμβάντος. Η εταιρεία θα συνεχίσει να λαμβάνει πρόσθετα μέτρα ανάλογα με την περίπτωση. Μέχρι σήμερα, πολλές από τις εφαρμογές της Εταιρείας παραμένουν σε μεγάλο βαθμό ανεπηρέαστες και λειτουργικές. Στο μέτρο του δυνατού και σύμφωνα με τα σχέδια επιχειρηματικής συνέχειας, η Εταιρεία εφάρμοσε λύσεις για ορισμένες λειτουργίες για να μετριάσει τις διακοπές και να συνεχίσει να εξυπηρετεί τους πελάτες της. Ωστόσο, το περιστατικό έχει προκαλέσει και αναμένεται να συνεχίσει να προκαλεί διαταραχές σε τμήματα των επιχειρηματικών λειτουργιών. Η Εταιρεία αξιολογεί εάν το περιστατικό θα επηρεάσει την ικανότητά της να δημοσιεύσει έγκαιρα τα αποτελέσματα του τέταρτου τριμήνου και του πλήρους οικονομικού έτους, ενώ αξιολογεί και τον αντίκτυπο στα οικονομικά της αποτελέσματα.
Η έρευνα και οι προσπάθειες αποκατάστασης της Εταιρείας συνεχίζονται“.
Dark Angels ransomware
Η Dark Angels είναι μια επιχείρηση ransomware που εντοπίστηκε τον Μάιο του 2022 όταν άρχισε να στοχεύει οργανισμούς σε όλο τον κόσμο.
Οι Dark Angels παραβιάζουν τα εταιρικά δίκτυα και στη συνέχεια εξαπλώνονται και κλέβουν δεδομένα για να τα χρησιμοποιήσουν για διπλό εκβιασμό.
Στη συνέχεια, αναπτύσσουν το ransomware για να κρυπτογραφήσουν όλες τις συσκευές στο δίκτυο.
Αρχικά, χρησιμοποιούσαν Windows και VMware ESXi encryptors με βάση τη διαρροή του source code για το ransomware Babuk.
Ωστόσο, ο MalwareHunterTeam είπε στο BleepingComputer ότι ο Linux encryptor που χρησιμοποιήθηκε στην επίθεση Johnson Controls είναι ο ίδιος με αυτόν που χρησιμοποιεί το Ragnar Locker από το 2021.
Η Dark Angels δημιούργησε έναν ιστότοπο διαρροής δεδομένων τον Απρίλιο του 2023 με την ονομασία “Dunghill Leaks“. Αυτός ο ιστότοπος έχει ήδη εννέα θύματα, συμπεριλαμβανομένων των Saber και Sysco, οι οποίοι αποκάλυψαν πρόσφατα κυβερνοεπιθέσεις.
Οι επιθέσεις ransomware έχουν άμεσες και σοβαρές συνέπειες για τις εταιρείες. Αυτές τις επιθέσεις ακολουθεί συνήθως η περίοδος της αποκατάστασης, κατά την οποία η εταιρεία πρέπει να επαναφέρει τα συστήματα και τις εφαρμογές της σε λειτουργία, το συντομότερο δυνατόν. Αυτή η διαδικασία μπορεί να είναι επίπονη και χρονοβόρα, ειδικά αν τα δεδομένα της εταιρείας έχουν κρυπτογραφηθεί ή ακόμη χειρότερα, αν έχουν κλαπεί. Αν η εταιρεία αποφασίσει να πληρώσει το λύτρα, τότε οι οικονομικές επιβαρύνσεις μπορούν να είναι σημαντικές. Όμως, η πληρωμή δεν εγγυάται πάντα την αποκατάσταση των συστημάτων ή την επιστροφή των δεδομένων. Τέλος, η εμπιστοσύνη των πελατών και η φήμη της εταιρίας μπορούν να υποστούν σημαντική ζημιά, και η επαναφορά τους μπορεί να διαρκέσει πολύ καιρό.
Πηγή: www.bleepingcomputer.com