DarkSide атакует европейское отделение корпорации Toshiba

По горячим следам успешной атаки на инфраструктуру Colonial Pipeline, которая привела к выплате выкупа в размере 5 миллионов долларов, группа злоумышленников, известная как DarkSide, осуществила еще одну атаку с использованием программ-вымогателей. На этот раз целью DarkSide стало европейское подразделение японской корпорации Toshiba.

14 мая компания Toshiba опубликовала информационный материал, в котором говорилось, что европейские дочерние компании Toshiba Tec Group стали последней жертвой атаки программ-вымогателей и «понесли ущерб».

Toshiba отключила затронутые сети, чтобы предотвратить дальнейшее распространение программ-вымогателей, и системы, работающие между старым континентом и Японией, а также межъевропейские системы были остановлены, чтобы минимизировать ущерб.

Согласно текущей информации, ущерб ограничен несколькими европейскими регионами, и нет никаких доказательств кражи информации о клиентах.

Несмотря на заверения в том, что никакая информация о клиентах не была утечка или украдена, в объявлении упоминается, что «некоторая информация и данные могли быть утечкой». Группой, ответственной за атаку, является группа DarkSide, которая развернула программу-вымогатель на системах Colonial Pipeline в США и вызвала серьезный перерыв в поставках топлива, который длился несколько дней.

Результатом предыдущей атаки стала выплата выкупа в размере 5 миллионов долларов, которую Colonial осуществила через несколько часов после атаки. Несмотря на своевременную оплату, инструмент дешифрования, предоставленный хакерами, оказался слишком медленным, и компания восстановила операции, используя собственные внутренние резервные копии. В настоящее время Toshiba делает то же самое, работая над приведением затронутых сетей в рабочее состояние с помощью резервных копий.

Несмотря на то, что веб-сайт группы DarkSide в настоящее время недоступен, ZDNet сообщил, что кэшированная версия страницы, опубликованная DarkSide, показала, что из систем Toshiba было извлечено около 740 гигабайт данных, включая отсканированные паспорта, а также документацию по проекту, принадлежащую Toshiba.

Еще неизвестно, опубликуют ли злоумышленники эти файлы повторно. Группы угроз, использующие программы-вымогатели, недавно перешли к модели двойного вымогательства, как зашифровывая файлы жертвы, так и вывозя как можно больше конфиденциальных данных, в попытке шантажировать жертву и угрожать утечкой данных в случае невыполнения требований о выкупе.

DarkSide работает по принципу «программа-вымогатель как услуга», лицензируя свои вредоносные инструменты сторонним хакерам. Как только платеж поступает, сторонние хакеры делят выплату с субъектом угрозы верхнего уровня, который работает и поддерживает программу-вымогатель.

Два дня назад DarkSide хвасталась, что уже атаковала еще три цели. Скорее всего, европейское отделение Toshiba было первой из этих трех целей.