Η εταιρεία υπηρεσιών ενέργειας BHI Energy, κυκλοφόρησε μία ανακοίνωση σχετικά με το πώς μία επίθεση Akira ransomware, διείσδυσε στα δίκτυά της και έκλεψε δεδομένα της.
Δείτε επίσης: Επιθέσεις ransomware: Γιατί η σύλληψη των χάκερ παραμένει δύσκολη;
Η BHI Energy, τμήμα της Westinghouse Electric Company, εξειδικεύεται σε υπηρεσίες μηχανικής και λύσεις προσωπικού. Παρέχει υποστήριξη σε ιδιωτικές και κυβερνητικές εγκαταστάσεις, στους τομείς παραγωγής πετρελαίου και αερίου, πυρηνικής, αιολικής, ηλιακής και ορυκτού καυσίμου ενέργειας, καθώς και σε εγκαταστάσεις μετάδοσης και διανομής ηλεκτρικής ενέργειας.
Σε μια ειδοποίηση για παραβίαση δεδομένων που απέστειλε η BHI Energy στους επηρεαζόμενους, η εταιρεία παρέχει λεπτομερείς πληροφορίες για τον τρόπο με τον οποίο η ομάδα hacking Akira ransomware, διέρρηξε το δίκτυό της στις 30 Μαΐου 2023. Η επίθεση ξεκίνησε όταν η ομάδα hacking, χρησιμοποίησε τα κλεμμένα διαπιστευτήρια VPN ενός υπεργολάβου για να αποκτήσει πρόσβαση στο εσωτερικό δίκτυο της BGI Energy.
“Χρησιμοποιώντας τον λογαριασμό αυτού του τρίτου προμηθευτή, ο κακόβουλος παράγοντας είχε πρόσβαση στο εσωτερικό δίκτυο της BHI μέσω μιας σύνδεσης VPN“, αναφέρεται στην ειδοποίηση παραβίασης δεδομένων.
“Την εβδομάδα που ακολούθησε την αρχική παραβίασης, ο κακόβουλος παράγοντας χρησιμοποίησε τον ίδιο χακαρισμένο λογαριασμό για να πραγματοποιήσει αναγνώριση του εσωτερικού δικτύου.“
Οι χειριστές του Akira ransomware επανεξέτασαν το δίκτυο στις 16 Ιουνίου 2023, για να απαριθμήσουν τα δεδομένα που είχαν κλαπεί. Μεταξύ 20 και 29 Ιουνίου, οι δράστες έκλεψαν 767k αρχεία που περιείχαν 690 GB δεδομένα, συμπεριλαμβανομένης της βάσης δεδομένων του BHI για το Windows Active Directory.
Τέλος, στις 29 Ιουνίου 2023, μετά την κλοπή όλων των δεδομένων από το δίκτυο της BHI, οι κακόβουλοι παράγοντες εγκατέστησαν το κακόβουλο λογισμικό Akira ransomware σε όλες τις συσκευές. Αυτό ήταν το σημείο που η ομάδα IT της BHI συνειδητοποίησε ότι η εταιρεία είχε δεχθεί παραβίαση ασφαλείας. Η εταιρεία αναφέρει ότι ενημέρωσε αμέσως τις επιχειρήσεις επιβολής του νόμου και συνεργάστηκε με εξωτερικούς εμπειρογνώμονες, για να ανακτήσει τα πληττόμενα συστήματα. Η παρουσία του απειλητικού παράγοντα στο δίκτυο της BHI καταργήθηκε στις 7 Ιουλίου 2023.
Δείτε ακόμα: Το online search του Register of Deeds της κομητείας Cumberland δεν λειτουργεί εξαιτίας ransomware
Η εταιρεία αναφέρει ότι κατάφερε να ανακτήσει δεδομένα από μια λύση αντιγράφων ασφαλείας στο cloud που δεν είχε πληγεί από την επίθεση ransomware, έτσι ώστε να μπορέσει να αποκαταστήσει τα συστήματα της χωρίς να πληρώσει λύτρα.
Επιπλέον, η BHI ενίσχυσε τα μέτρα ασφαλείας της, εφαρμόζοντας επαλήθευση πολλαπλών παραγόντων στην πρόσβαση μέσω VPN, πραγματοποίησε επαναφορά κωδικών πρόσβασης σε παγκόσμια κλίμακα, επέκτεινε την υλοποίηση εργαλείων EDR και AV για να καλύψει όλα τα τμήματα του περιβάλλοντός της και απενεργοποίησε τα παλαιά συστήματα.
Παρά την ανάκτηση των συστημάτων της BHI, οι κακόβουλοι χρήστες κατάφεραν να κλέψουν δεδομένα που περιλαμβάνουν προσωπικές πληροφορίες υπαλλήλων.
Μια έρευνα που ολοκληρώθηκε στην 1η Σεπτεμβρίου 2023, δείχνει ότι κλάπηκαν τα εξής δεδομένα:
- Πλήρες όνομα
- Ημερομηνία γέννησης
- Αριθμός κοινωνικής ασφάλισης
- Πληροφορίες υγείας
Μέχρι στιγμής το Akira ransomware δεν έχει διαρρεύσει κανένα δεδομένο που ανήκει στην BHI στην πλατφόρμα που χρησιμοποιεί στο Dark Web, ούτε έχουν ανακοινώσει μία προγραμματισμένη διαρροή δεδομένων.
Δείτε επίσης: Ragnar Locker ransomware: Γερό χτύπημα από τις αρχές – Εκτός σύνδεσης τα sites στο dark web
Οι συνηθισμένοι στόχοι των επιθέσεων του Akira ransomware περιλαμβάνουν εταιρείες και οργανισμούς σε διάφορους τομείς. Ένας από τους κύριους στόχους είναι οι κατασκευαστικές εταιρείες, καθώς οι επιθέσεις αυτές μπορούν να προκαλέσουν σοβαρή διαταραχή στη λειτουργία των συστημάτων και των υπηρεσιών τους. Επιπλέον, οι επιθέσεις Akira ransomware στοχεύουν σε εταιρείες παροχής υπηρεσιών, όπως τράπεζες, ασφαλιστικές εταιρείες και εταιρείες λιανικής πώλησης, καθώς αυτές διαθέτουν ευαίσθητα δεδομένα πελατών και μπορούν να πληγούν σοβαρά από την απώλεια ή τη διαρροή των δεδομένων αυτών.
Επιπλέον, οι επιθέσεις Akira ransomware μπορούν να στοχεύουν και εταιρείες real estate, που διαθέτουν ευαίσθητες πληροφορίες και αποτελούν στρατηγικούς στόχους για κυβερνοεπιθέσεις. Ακόμα οι επιθέσεις Akira ransomware μπορούν να στοχεύσουν και τον κλάδο της υγείας, καθώς τα νοσοκομεία και οι ιατρικές εγκαταστάσεις διαθέτουν ευαίσθητα ιατρικά δεδομένα που μπορούν να πληγούν από την απώλεια ή την κατάχρηση αυτών των δεδομένων.
Τέλος, οι επιθέσεις Akira ransomware μπορεί να στοχεύσουν και μικρομεσαίες επιχειρήσεις, καθώς αυτές συχνά δεν διαθέτουν τους ίδιους πόρους και την ίδια κυβερνοασφάλεια όπως οι μεγαλύτερες εταιρείες. Οι επιθέσεις Akira ransomware μπορούν να προκαλέσουν σοβαρές οικονομικές απώλειες και να απειλήσουν την επιβίωση των μικρομεσαίων επιχειρήσεων, καθώς αυτές συχνά εξαρτώνται από την απρόσκοπτη λειτουργία των συστημάτων τους.
Πηγή: bleepingcomputer
