Η συμμορία Underground ransomware ανέλαβε την ευθύνη για μια επίθεση στις 5 Οκτωβρίου στον ιαπωνικό τεχνολογικό γίγαντα Casio, η οποία προκάλεσε διακοπές στο σύστημα και επηρέασε ορισμένες από τις υπηρεσίες της εταιρείας.
Νωρίτερα αυτή την εβδομάδα, η Casio αποκάλυψε την επίθεση στον ιστότοπό της, αλλά απέκρυψε λεπτομέρειες για το περιστατικό, λέγοντας ότι είχε προσλάβει εξωτερικούς ειδικούς πληροφορικής για να διερευνήσουν εάν κλάπηκαν προσωπικά δεδομένα ή άλλες εμπιστευτικές πληροφορίες στην επίθεση.
Σήμερα, ο όμιλος ransomware Underground έχει προσθέσει το Casio στην πύλη εκβιασμού του σκοτεινού ιστού, διαρρέοντας θησαυρούς δεδομένων που φέρεται να έχουν κλαπεί από την ιαπωνική εταιρεία.
Τα στοιχεία που διέρρευσαν περιλαμβάνουν:
- Εμπιστευτικά έγγραφα (社外秘)
- Νομικά έγγραφα
- Προσωπικά δεδομένα εργαζομένων
- Εμπιστευτικά NDA
- Πληροφορίες μισθοδοσίας εργαζομένων
- Πληροφορίες για διπλώματα ευρεσιτεχνίας
- Οικονομικά έγγραφα της εταιρείας
- Πληροφορίες έργου
- Αναφορές περιστατικών
Εάν ισχύουν τα παραπάνω, η επίθεση έχει θέσει σε κίνδυνο το εργατικό δυναμικό και την πνευματική ιδιοκτησία της Casio, γεγονός που θα μπορούσε να επηρεάσει αρνητικά την επιχείρησή της.
Η BleepingComputer επικοινώνησε ξανά με την Casio ζητώντας ένα σχόλιο σχετικά με τους ισχυρισμούς των παραγόντων της απειλής και τη διαρροή δεδομένων, αλλά δεν λάβαμε απάντηση μέσω δημοσίευσης. Ως εκ τούτου, οι ισχυρισμοί του ηθοποιού της απειλής παραμένουν μη επαληθευμένοι.
Επισκόπηση Underground ransomware
Σύμφωνα με α Έκθεση Fortinet Από τα τέλη Αυγούστου 2024, το Underground είναι μια σχετικά μικρής κλίμακας λειτουργία ransomware που στοχεύει συστήματα Windows από τον Ιούλιο του 2023.
Το στέλεχος έχει συσχετιστεί με τη ρωσική ομάδα εγκλήματος στον κυβερνοχώρο «RomCom» (Storm-0978), η οποία προηγουμένως παρέδιδε ransomware στην Κούβα σε συστήματα που είχαν παραβιαστεί.
Το Fortinet αναφέρει ότι κατά τη διάρκεια του καλοκαιριού, χειριστές Underground ransomware εκμεταλλεύονταν το CVE-2023-36884, ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα στο Microsoft Office, το οποίο πιθανότατα χρησιμοποιείται ως φορέας μόλυνσης.
Μόλις παραβιαστεί ένα σύστημα, οι εισβολείς τροποποιούν το μητρώο για να διατηρήσουν ζωντανές τις περιόδους λειτουργίας Απομακρυσμένης επιφάνειας εργασίας για 14 ημέρες μετά την αποσύνδεση του χρήστη, δίνοντάς τους ένα άνετο παράθυρο για να διατηρήσουν την πρόσβαση στο σύστημα.
Το Underground δεν προσθέτει επεκτάσεις αρχείων σε κρυπτογραφημένα αρχεία και έχει ρυθμιστεί ώστε να παραλείπει τους τύπους αρχείων που είναι απαραίτητοι για τη λειτουργία των Windows, ώστε να αποφευχθεί η αχρηστία του συστήματος.
Επιπλέον, σταματά την υπηρεσία MS SQL Server για να ελευθερώσει δεδομένα για κλοπή και κρυπτογράφηση, μεγιστοποιώντας τον αντίκτυπο της επίθεσης.
Όπως συμβαίνει με τα περισσότερα ransomware των Windows, το Underground διαγράφει σκιώδη αντίγραφα για να καταστήσει αδύνατη την εύκολη επαναφορά δεδομένων.
Ένα ασυνήθιστο χαρακτηριστικό στις τακτικές εκβιασμού της Underground είναι ότι διαρρέει επίσης τα κλεμμένα δεδομένα στο Mega, προωθώντας συνδέσμους σε αρχεία που φιλοξενούνται εκεί μέσω του καναλιού του Telegram, μεγιστοποιώντας την έκθεση και τη διαθεσιμότητα των δεδομένων.
Η πύλη εκβιασμών του Underground ransomware απαριθμεί επί του παρόντος 17 θύματα, τα περισσότερα από τα οποία εδρεύουν στις ΗΠΑ.
Το κατά πόσον η επίθεση Casio θα είναι ή όχι η επανάσταση της ομάδας απειλών στο mainstream, ακολουθούμενη από υψηλότερο όγκο/ρυθμό επίθεσης, μένει να φανεί.
VIA: bleepingcomputer.com