Η πλατφόρμα πληρωμών MoneyGram λέει ότι δεν υπάρχουν στοιχεία ότι το ransomware βρίσκεται πίσω από μια πρόσφατη κυβερνοεπίθεση που οδήγησε σε πενθήμερη διακοπή λειτουργίας τον Σεπτέμβριο.
Η MoneyGram είναι μια αμερικανική πλατφόρμα πληρωμών και μεταφοράς χρημάτων που επιτρέπει στους χρήστες να στέλνουν και να λαμβάνουν χρήματα μέσω ενός εκτεταμένου δικτύου 350.000 φυσικών τοποθεσιών σε 200 χώρες ή μέσω της εφαρμογής για κινητά και του ιστότοπού της.
Η MoneyGram επιβεβαίωσε ότι είχε υποστεί κυβερνοεπίθεση και έβγαλε τα συστήματα εκτός σύνδεσης για να περιορίσει την παραβίαση στις 20 Σεπτεμβρίου, τρεις ημέρες αφότου οι πελάτες άρχισαν να αναφέρουν προβλήματα.
Η διακοπή στα συστήματα πληροφορικής εμπόδισε τους πελάτες να έχουν πρόσβαση και να μεταφέρουν τα χρήματά τους και να εκτελούν άλλες διαδικτυακές δραστηριότητες.
Ενώ πολλοί υποψιάζονταν ότι επρόκειτο για επίθεση ransomware, η MoneyGram δεν κοινοποίησε περισσότερες λεπτομέρειες και καμία συμμορία ransomware δεν ανέλαβε την ευθύνη.
Σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου με ενημερωμένες πληροφορίες σχετικά με την κυβερνοεπίθεση που στάλθηκε στους ενδιαφερόμενους στις 25 Σεπτεμβρίου και είδε το BleepingComputer, η MoneyGram είπε ότι οι πελάτες μπορούν επιτέλους να μεταφέρουν ξανά χρήματα.
Η MoneyGram επιβεβαίωσε ότι τα εταιρικά συστήματα παραβιάστηκαν, αλλά μετά τη διερεύνηση της επίθεσης με το CrowdStrike, οι αρχές επιβολής του νόμου και άλλοι επαγγελματίες της κυβερνοασφάλειας είπαν ότι δεν υπήρχαν στοιχεία ότι πίσω από την επίθεση βρισκόταν ransomware.
“Μετά από συνεργασία με κορυφαίους εξωτερικούς εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας, συμπεριλαμβανομένου του CrowdStrike, και συντονισμού με τις αρχές επιβολής του νόμου των ΗΠΑ, η πλειονότητα των συστημάτων μας είναι πλέον λειτουργικά και έχουμε ξαναρχίσει τις υπηρεσίες μεταφοράς χρημάτων”, αναφέρει ένα email που έλαβε η BleepingComputer.
“Αναγνωρίζουμε τη σημασία της ασφάλειας του συστήματος καθώς αναλαμβάνουμε αυτές τις ενέργειες. Αποκαταστήσαμε τα συστήματά μας μόνο αφού λάβαμε εκτεταμένα προληπτικά μέτρα. Προς το παρόν, δεν έχουμε αποδείξεις ότι αυτό το ζήτημα αφορά ransomware ούτε έχουμε κανένα λόγο να πιστεύουμε ότι αυτό έχει επηρεάσει τα συστήματα των πρακτόρων μας».
Μια πηγή εξοικειωμένη με την επίθεση μοιράστηκε περαιτέρω πληροφορίες, λέγοντας στην BleepingComputer ότι το MoneyGram αρχικά παραβιάστηκε μέσω μιας επίθεσης κοινωνικής μηχανικής στο εσωτερικό γραφείο βοήθειας της εταιρείας.
Αυτή η επίθεση επέτρεψε στους παράγοντες της απειλής να αποκτήσουν πρόσβαση στο δίκτυο της MoneyGram χρησιμοποιώντας τα διαπιστευτήρια ενός υπαλλήλου και να στοχεύσουν πληροφορίες εργαζομένων στις υπηρεσίες Windows Active Directory της εταιρείας. Ωστόσο, εντοπίστηκαν και μπλοκαρίστηκαν πριν προκληθούν περισσότερες ζημιές.
Η BleepingComputer επικοινώνησε με την MoneyGram με ερωτήσεις σχετικά με την παραβίαση, αλλά δεν έλαβε απάντηση.
Εάν έχετε οποιαδήποτε πληροφορία σχετικά με αυτό το περιστατικό ή άλλες άγνωστες επιθέσεις, μπορείτε να επικοινωνήσετε μαζί μας εμπιστευτικά μέσω του Signal στο 646-961-3731 ή στο [email protected].
Ενώ η MoneyGram δεν έχει αποδώσει δημόσια την επίθεση σε κάποιον συγκεκριμένο παράγοντα απειλής, οι στρατηγικές θυμίζουν επιθέσεις που είχαν πραγματοποιηθεί στο παρελθόν από μια χαλαρή ομάδα χάκερ γνωστή ως Scattered Spider (γνωστή και ως UNC3944, the Com και 0ktapus).
Τον Σεπτέμβριο του 2023, ο Scattered Spider βρισκόταν πίσω από μια κυβερνοεπίθεση στα MGM Resorts, την οποία παραβίασαν υποδυόμενοι έναν υπάλληλο της MGM ενώ καλούσαν το γραφείο βοήθειας IT για να επαναφέρουν τον κωδικό πρόσβασης.
Μόλις απέκτησαν πρόσβαση στο δίκτυο, οι φορείς απειλών ανέπτυξαν το BlackCat ransomware για να κρυπτογραφήσουν εκατοντάδες διακομιστές VMware ESXi.
Λόγω της πολυπλοκότητας των επιθέσεων κοινωνικής μηχανικής τους, η Microsoft, το FBI/CISA και η Mandiant δημοσίευσαν συμβουλές σχετικά με τις τακτικές τους και τον τρόπο άμυνας εναντίον τους.
VIA: bleepingcomputer.com
