Η Toyota Financial Services (TFS) εντόπισε μη εξουσιοδοτημένη πρόσβαση σε κάποια συστήματά της στην Ευρώπη και την Αφρική, αφού η ransomware συμμορία Medusa ισχυρίστηκε ότι πραγματοποίησε επίθεση στην εταιρεία. Η Toyota Financial Services είναι θυγατρική της Toyota Motor Corporation.
Χθες, η συμμορία ransomware Medusa πρόσθεσε την TFS στον ιστότοπο διαρροής δεδομένων της στο dark web. Οι hackers ζήτησαν 8.000.000 $ από την ιαπωνική εταιρεία, προκειμένου να διαγράψουν δεδομένα που ισχυρίζονται ότι έκλεψαν.
Οι επιτιθέμενοι έδωσαν στην Toyota 10 ημέρες για να απαντήσει, με την επιλογή να παρατείνει την προθεσμία, αλλά με αύξηση 10.000 $ την ημέρα.
Ενώ η Toyota Finance δεν επιβεβαίωσε εάν κλάπηκαν δεδομένα κατά τη διάρκεια της επίθεσης, η ransomware συμμορία Medusa ισχυρίζεται ότι έχει στην κατοχή της αρχεία και απειλεί να τα διαρρεύσει εάν δεν καταβληθούν τα λύτρα.
Δείτε επίσης: Οι μισές από τις ομάδες ransomware που εντοπίστηκαν σε επιθέσεις το 2023 είναι καινούριες
Μάλιστα, οι hackers δημοσίευσαν δείγματα δεδομένων που περιλαμβάνουν οικονομικά έγγραφα, υπολογιστικά φύλλα, τιμολόγια αγορών, hashed account passwords, αναγνωριστικά χρήστη και κωδικούς πρόσβασης σε καθαρό κείμενο, συμφωνίες, σαρώσεις διαβατηρίων, εσωτερικά οργανογράμματα, αναφορές οικονομικών επιδόσεων, διευθύνσεις email προσωπικού και άλλα. Με αυτόν τον τρόπο, οι επιτιθέμενοι προσπαθούν να αποδείξουν ότι όντως επιτέθηκαν στην Toyota και έκλεψαν σημαντικά δεδομένα της.
Η ransomware συμμορία Medusa παρέχει επίσης ένα αρχείο .TXT με το file tree structure όλων των δεδομένων που ισχυρίζονται ότι έχουν κλέψει από τα συστήματα της Toyota.
Τα περισσότερα από τα έγγραφα είναι στα γερμανικά, υποδεικνύοντας ότι οι hackers κατάφεραν να αποκτήσουν πρόσβαση σε συστήματα που εξυπηρετούσαν τις λειτουργίες της Toyota στην Κεντρική Ευρώπη.
Ένας εκπρόσωπος της εταιρείας είπε στο BleepingComputer:
“Η Toyota Financial Services Europe & Africa εντόπισε πρόσφατα μη εξουσιοδοτημένη δραστηριότητα σε συστήματα σε περιορισμένο αριθμό τοποθεσιών της. Βγάλαμε ορισμένα συστήματα εκτός σύνδεσης για να διερευνήσουμε αυτή τη δραστηριότητα και να μειώσουμε τον κίνδυνο και επίσης ξεκινήσαμε να συνεργαζόμαστε με τις αρχές επιβολής του νόμου. Μέχρι τώρα, αυτό το περιστατικό περιορίζεται στην Toyota Financial Services Europe & Africa“.
Δείτε επίσης: Δημόσια Βιβλιοθήκη του Τορόντο: Η πρόσφατη ransomware επίθεση οδήγησε σε παραβίαση δεδομένων
Η εταιρεία βρίσκεται σε διαδικασία επαναφοράς των συστημάτων της στις περισσότερες χώρες.
Η επίθεση έγινε μέσω εκμετάλλευσης της ευπάθειας Citrix Bleed;
Λίγο μετά την αποκάλυψη της συμμορίας Medusa για την επίθεση στην Toyota Financial Services, ο αναλυτής ασφαλείας Kevin Beaumont είπε ότι το γερμανικό γραφείο της εταιρείας είχε ένα, εκτεθειμένο στο διαδίκτυο, τελικό σημείο Citrix Gateway το οποίο δεν είχε ενημερωθεί από τον Αύγουστο του 2023. Αυτό σημαίνει ότι ήταν ευάλωτο στο κρίσιμο σφάλμα Citrix Bleed ( CVE-2023-4966). Επομένως, οι επιτιθέμενοι ενδέχεται να αξιοποίησαν αυτή την ευπάθεια για να πραγματοποιήσουν την επίθεσή τους.
Πριν από λίγες ημέρες, επιβεβαιώθηκε ότι οι hackers που χρησιμοποιούν το ransomware Lockbit, χρησιμοποίησαν δημόσια διαθέσιμα exploit για το Citrix Bleed για να επιτεθούν στην Industrial and Commercial Bank of China (ICBC), την DP World, την Allen & Overy και τη Boeing.
Medusa ransomware
Το Medusa ransomware είναι ένας τύπος κακόβουλου λογισμικού που στοχεύει στο να κλειδώσει τα αρχεία του θύματος, και στη συνέχεια ζητάει λύτρα για να ξεκλειδώσει τα δεδομένα. Το Medusa ransomware είναι ένα από τα πιο πρόσφατα είδη ransomware που έχουν εμφανιστεί.
Η επιχείρηση Medusa ξεκίνησε τον Ιούνιο του 2021 αλλά εκείνη την εποχή η δραστηριότητά της ήταν περιορισμένη. Τώρα, δύο περίπου χρόνια μετά, η συμμορία ransomware έχει αυξήσει τις δραστηριότητές της, ενώ έχει και ένα site στο οποίο δημοσιεύει τα δεδομένα θυμάτων που αρνούνται να πληρώσουν λύτρα.
Δείτε επίσης: BlackCat ransomware: Η συμμορία κατήγγειλε θύμα που δεν αποκάλυψε την παραβίαση
Ο τρόπος λειτουργίας του Medusa ransomware είναι ο εξής: κατά την εισβολή του στον υπολογιστή του θύματος, ο κακόβουλος κώδικας αναζητά αρχεία και φακέλους που είναι σημαντικά για το θύμα και τα κρυπτογραφεί χρησιμοποιώντας ισχυρούς αλγορίθμους κρυπτογράφησης. Αυτό καθιστά τα αρχεία μη αναγνώσιμα και μη προσπελάσιμα από το θύμα. Στη συνέχεια, το κακόβουλο λογισμικό εμφανίζει ένα μήνυμα που ζητάει ένα χρηματικό ποσό για την αποκρυπτογράφηση των δεδομένων και την επαναφορά της πρόσβασης στο σύστημα.
Οι δράστες πίσω από το Medusa ransomware συνήθως απαιτούν την πληρωμή σε crypto, για να δυσκολέψουν τον εντοπισμό τους. Εάν το θύμα αρνηθεί να πληρώσει τα λύτρα, οι δράστες μπορεί να απειλήσουν να διαρρεύσουν κρίσιμα δεδομένα που έχουν κλέψει, πριν την κρυπτογράφηση.
Είναι σημαντικό να σημειωθεί ότι η καλύτερη πρακτική για την αντιμετώπιση του Medusa ransomware είναι η πρόληψη. Οι χρήστες πρέπει να είναι προσεκτικοί με τα email ή τα μηνύματα που λαμβάνουν, να αποφεύγουν το κλικ σε ύποπτους συνδέσμους ή επισυνάψεις, και να ενημερώνουν το λογισμικό τους για να αποφεύγουν ευπάθειες που μπορεί να εκμεταλλευτεί το ransomware.
Πηγή: www.bleepingcomputer.com
