Skupina prevádzkujúca ransomvér Nefilim začala zverejňovať dokumenty, ktoré začiatkom mája odcudzila austrálskemu prepravnému gigantovi Toll Group. Hekeri údajne disponujú databázou finančných správ, komerčných zmlúv, mzdových dokladov a osobnými údajmi zamestnancov o veľkosti 200 GB, informoval portál Data Breach Today.
Spoločnosť Toll Group zaznamenala nezvyčajné aktivity na svojich serveroch už 5. mája. Rozhodla sa preto znefunkčniť všetky svoje online platformy a spracúvať požiadavky klientov výlučne manuálne.
„Vzhľadom na technicky náročnú a podrobnú povahu prebiehajúcej analýzy, spoločnosť Toll očakáva, že získanie ďalších detailov bude trvať niekoľko týždňov,“ uviedol generálny riaditeľ spoločnosti Thomas Knudsen.
V súlade s odporúčaním bezpečnostných expertov firma odmietla kyberzločincom zaplatiť výkupné a rozhodla sa radšej pre prestavbu základných systémov a obnovenie zálohovaných súborov.
Toll Group tento rok čelila už druhému úspešnému kybernetickému útoku. Koncom januára ju napadol ransomvér MailTo, ktorý ovplyvnil doručovanie v Austrálii, Indii a na Filipínach. Prepravca tento incident logisticky nezvládol. Zákazníci sa sťažovali, že nemajú prehľad o svojich objednávkach a dochádzalo k oneskoreniu zásielok.
Ransomvérové útoky z januára a mája však nemajú mať žiadnu súvislosť – chybu treba podľa všetkého hľadať v nedostatočnom zabezpečení interných serverov.
Nový šikovný hráč na scéne
Hekeri neváhali a zverejnili prvú časť odcudzenej databázy prepravcu. Podľa portálu SecurityWeek ide minimálne o 18-tisíc finančných dokumentov z rokov 2003 až 2018.
Skupina pre ukradnuté dokumenty vytvorili špeciálnu webstránku Corporate Leaks dostupnú cez prehliadač TOR. Napriek tomu, že ransomvér Nefilim sa objavil len pred dvomi mesiacmi, na stránkach sa údajne nachádzajú dokumenty už siedmich organizácií, medzi inými napríklad výrobcu spodnej bielizne MAS Holdings.
Lukratívnymi obeťami ransomvéru sa v apríli stali aj spoločnosti ropného priemyslu – americký producent ropy a zemného plynu W&T Offshore, ale aj najväčší indický poskytovateľ vrtných služieb Aban Offshore, ktorého dáta boli doposiaľ publikované v siedmych častiach.
Nefilim je nástrojom tzv. dvojitého vydierania – hekeri dáta najprv odcudzia, následne zašifrujú alebo vymažú zo serverov obete a nakoniec od nej požadujú výkupné za odšifrovanie lokálneho serveru aj za vymazanie z archívu útočníka.
Jeho jadro podľa expertov z TrendMicro tvorí kód iného ransomvéru s názvom Nemty. Škodlivý softvér sa šíri najmä prostredníctvom zle zabezpečených koncových bodov protokolu vzdialenej pracovnej plochy (RDP).
(KU)