Η ransomware συμμορία RansomHub βρίσκεται πίσω από την πρόσφατη κυβερνοεπίθεση στην εταιρεία Halliburton.
Η επίθεση προκάλεσε εκτεταμένη αναστάτωση, αφού η εταιρεία αναγκάστηκε να κλείσει τα IT συστήματά της και να διακόψεις τις επιχειρηματικές λειτουργίες της. Λέγεται ότι οι πελάτες δεν μπορούσαν να δημιουργήσουν τιμολόγια ή παραγγελίες αγοράς.
Η Halliburton αποκάλυψε την επίθεση την περασμένη Παρασκευή σε μια κατάθεση στην SEC, δηλώνοντας ότι η κυβερνοεπίθεση έλαβε χώρα στις 21 Αυγούστου 2024.
«Στις 21 Αυγούστου 2024, η Halliburton Company (η «Εταιρεία») αντιλήφθηκε ότι ένα μη εξουσιοδοτημένο τρίτο μέρος απέκτησε πρόσβαση σε ορισμένα από τα συστήματά της», έγραφε η κατάθεση της Halliburton.
Δείτε επίσης: Οι Ιρανοί hackers Pioneer Kitten συνεργάζονται με ransomware ομάδες
«Όταν η Εταιρεία έμαθε για το θέμα, ενεργοποίησε το σχέδιο απόκρισης στον κυβερνοχώρο και ξεκίνησε έρευνα εσωτερικά, με την υποστήριξη εξωτερικών συμβούλων για την αξιολόγηση και την αποκατάσταση της μη εξουσιοδοτημένης δραστηριότητας».
Η εταιρεία παρέχει πολυάριθμες υπηρεσίες σε εταιρείες πετρελαίου και φυσικού αερίου, συμπεριλαμβανομένων εκείνων που ασχολούνται με τη κατασκευή φρεατίων, τη γεώτρηση, το fracking αλλά και εταιρείες λογισμικού και IT. Λόγω του ευρέος φάσματος υπηρεσιών της εταιρείας, υπάρχει μεγάλη συνδεσιμότητα μεταξύ αυτών και των πελατών τους. Ωστόσο, η εταιρεία δεν μοιράστηκε λεπτομέρειες σχετικά με την επίθεση και τον πιθανό αντίκτυπο στους πελάτες. Ως αποτέλεσμα, πολλοί πελάτες έχουν αποσυνδεθεί από τη Halliburton λόγω της μη κοινοποίησης πληροφοριών.
Σύμφωνα με το BleepingComputer, ορισμένες εταιρείες συνεργάζονται με την ONG-ISAC, μια υπηρεσία που λειτουργεί ως κεντρικό σημείο συντονισμού και επικοινωνίας για φυσικές απειλές και ζητήματα κυβερνοασφάλειας κατά της βιομηχανίας πετρελαίου και φυσικού αερίου. Στόχος της συνεργασίας είναι να λάβουν τεχνικές πληροφορίες σχετικά με την επίθεση στην Halliburton για να καθορίσουν εάν επρεάστηκαν.
RansomHub ransomware πίσω από την επίθεση
Για μέρες, υπήρχαν φήμες ότι η ransomware συμμορία RansomHub βρισκόταν πίσω από την επίθεση στην Halliburton.
Η εταιρεία δεν απάντησε στις φήμες. Ωστόσο, σε ένα email στις 26 Αυγούστου, η Halliburton είπε στο BleepingComputer ότι έβγαλε τα συστήματα εκτός σύνδεσης για να τα προστατεύσει και συνεργάζεται με τη Mandiant για να διερευνήσει το περιστατικό.
Δήλωσε επίσης ότι τα συστήματα email συνεχίζουν να λειτουργούν καθώς φιλοξενούνται στην υποδομή Microsoft Azure. Διατίθεται επίσης μια λύση για τις συναλλαγές και την έκδοση εντολών αγοράς.
Δείτε επίσης: Το BlackByte ransomware εκμεταλλεύεται ευπάθεια του VMware ESXi
Το email αυτό περιλαμβάνει και μια λίστα με IOC με ονόματα αρχείων και διευθύνσεις IP, που σχετίζονται με την επίθεση και μπορούν να χρησιμοποιήσουν οι πελάτες για να εντοπίσουν παρόμοια δραστηριότητα στο δίκτυό τους. Ένα από αυτά τα IOC είναι για ένα εκτελέσιμο αρχείο των Windows με το όνομα maintenance.exe, το οποίο, σύμφωνα με το BleepingComputer, δείχνει κρυπτογράφηση από το ransomware RansomHub. Μετά την ανάλυση του δείγματος, φαίνεται να είναι νεότερη έκδοση του ransomware.
Η ransomware επιχείρηση RansomHub ξεκίνησε τον Φεβρουάριο, ως μια ομάδα που έκλεβε δεδομένα και απειλούσε να τα πουλήσει στο διαδίκτυο. Ωστόσο, ανακαλύφθηκε ότι χρησιμοποιούνται και ransomware encryptors σε επιθέσεις διπλού εκβιασμού, όπου οι hackers παραβιάζουν δίκτυα, κλέβουν δεδομένα και κρυπτογραφούν αρχεία.
Αυτή η ransomware επίθεση στην Halliburton δείχνει ότι η λήψη προληπτικών μέτρων είναι απαραίτητη για την προστασία των εταιρειών αλλά και των απλών χρηστών:
Δημιουργία αντίγραφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Δείτε επίσης: Qilin ransomware: Κλέβει credentials από τον Chrome browser
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransomware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com
