Владельцы вредоносного ПО «Maze» опубликовали сегодня десятки гигабайт внутренних данных из сетей корпоративных гигантов LG и Xerox после двух неудачных попыток вымогательства.
Хакеры слили 50,2 ГБ, которые, как они утверждают, были украдены из внутренней сети LG, и 25,8 ГБ данных Xerox.
В то время, как LG в июне выпустила общее заявление для портала ZDNet, ни одна из компаний не захотела сейчас подробно обсуждать данный инцидент.
Подозрение на обе сегодняшние утечки существовало с конца июня, когда хакерская группа «Maze» создала записи для каждой из двух компаний на своем «портале утечек».
Кибер-группировка «Maze» известна в первую очередь своим одноименным шифровальщиком и, как правило, работает путем взлома корпоративных сетей, кражи конфиденциальных файлов, шифрования данных и требования выкупа за расшифровку.
Если жертва отказывается платить за расшифровку файлов и решает восстановить их из резервной копии, «Maze» на втором этапе вымогательства создает запись на своем «портале утечек» и угрожает опубликовать конфиденциальные данные.
Затем жертве дается несколько недель на обдумывание решения, и если жертва не уступит - «Maze» публикует файлы на своем портале.
LG и Xerox сейчас на этой последней стадии, после того как они, очевидно, отказались удовлетворить требования банды «Maze».
Инцидент в LG
ZDNet отслеживает оба инцидента с тех пор, как они были первоначально объявлены на сайте «Maze» в конце июня.
Основываясь на скриншотах, которые банда «Maze» выложила в прошлом месяце, а также на загруженных сегодня образцах файлов - данные содержат исходные коды клонированных прошивок различных продуктов LG, таких как телефоны и ноутбуки.
В июне группа «Maze» сообщила электронным письмом порталу ZDNet, что они не запускали в LG шифровальщика а просто украли данные компании и решили сразу перейти ко «второй фазе» вымогательства.
«Мы решили не шифровать данные LG потому что их клиенты имеют важное значение для общества, и мы не хотим создавать сбои в их работе, поэтому мы только извлекли конфиденциальные данные» – сообщили «Maze» через контактную форму на их «портале утечек».
ZDNet обратились в июне за комментариями к группе безопасности LG, которая обещала рассмотреть инцидент и сообщить властям о любых кибератаках. В последующем электронном письме, отправленном после того как банда «Maze» опубликовала более 50 ГБ файлов компании, команда безопасности LG отклонила запрос ZDNet о предоставлении комментариев. ZDNet также связались с отделом LG по связям с общественностью, но комментариев также получить не удалось.
Инцидент в XEROX
Если про происходящее в LG есть некоторое понимание, в отношении Xerox все гораздо мрачнее.
Компания не ответила на запросы о комментариях, отправленные в июне и сразу после публикации данных.
Нет понимания, зашифровала ли банда «Maze» какие-то внутренние системы или же файлы были просто украдены как в LG.
Судя по поверхностному обзору опубликованных данных, «Maze» украла данные, связанные с процессами поддержки клиентов. На момент написания статьи была обнаружена информация, относящаяся к сотрудникам Xerox, однако, пока не найдены файлы, содержащие данные о клиентах, хотя объемы утечки огромны и просмотр всего этого займет некоторое время.
Точка входа - CITRIX?
В июне, в интервью компании Bad Packets, занимающейся исследованием угроз ИБ, соучредитель компании Трой Мёрш рассказал порталу ZDNet, что обе компании использовали непропатченные и уязвимые ADC-серверы Citrix , которые были обнаружены в ходе исследования командой Bad Packets.
Серверы были уязвимы к CVE-2019-19781, которую Мёрш охарактеризовал как «любимый вектор атаки группировки «Maze».
По иронии судьбы, в тот же день когда банда «Maze» слила файлы LG на своем «портале утечек», компания по исследованию кибер-угроз Shadow Intelligence сообщила ZDNet, что еще один хакер продает доступ к R&D -центру LG America на хакерском форуме.
Согласно предоставленным порталу ZDNet скриншотам, цена составляла от $10,000 до $13,000.
Перевод сделан со статьи https://www.zdnet.com/
