Útočníci zveřejnili interní data LG a Xeroxu po neúspěšném vydírání

Ransomware s přezdívkou Maze není žádnou novinkou, ale přesto se jeho útoky neustále opakují. Skupina útočníků, která stojí za tímto škodlivým kódem, podnikla letos v červnu útok na servery firem LG a Xerox. Žádná z nich neposkytla o incidentu příliš detailů, mnohem sdílnější byli zločinci na svých webových stránkách i v komunikaci s médii. Hackeři z této skupiny používají postup, který se trochu liší od běžných ransomwarových útoků.

 

Po napadení podnikové sítě nejprve ukradnou citlivá data, až následně soubory zašifrují a po oběti vyžadují výkupné. Pokud firma odmítne zaplatit za dešifrování a raději obnoví soubory ze zálohy, přichází druhá fáze vydírání, ve které útočníci hrozí zveřejněním ukradených dat. Pakliže i v tomto případě firma odmítne splnit požadavky, zločinci po několika týdnech publikují data na svém portálu.

 

 

A právě do této fáze se měl dostat případ napadení serverů společností LG a Xerox. Zdá se, že ani jedna z obětí se nerozhodla útočníkům zaplatit, proto gang zveřejnil 50,2 GB dat údajně pocházejících z interní sítě LG a dalších 25,8 GB ukradených Xeroxu. V případě LG by se podle webu ZDNet, který celý případ sleduje od června a měl by mít k dispozici i vzorky ukradených dat, mělo jednat o zdrojový kód proprietárního firmwaru různých produktů včetně smartphonů a notebooků.

 

Útočníci měli údajně přeskočit fázi ransomwaru – tedy nežádali o výkupné za dešifrování dat – a pouze ze sítě ukradli interní soubory. V e-mailovém prohlášení totiž uvedli, že klienti této firmy jsou společensky významní a cílem nebylo narušit jejich činnost. LG v červnu poskytlo webu ZDNet pouze vágní odpověď s tím, že jakékoliv zjištěné narušení bude nahlášeno úřadům. Nyní společnost zcela odmítla situaci komentovat.

 

Incident Xeroxu zůstává ještě tajemnější, neboť americký výrobce tiskáren se k němu nijak nevyjádřil. Není ani jasné, zda v tomto případě došlo k zašifrování dat, nebo útočníci zvolili stejný postup jako při napadení serverů LG. Data uniklá online údajně obsahují informace týkající se činnosti zákaznické podpory včetně údajů o zaměstnancích. Podle ZDNet se zatím nepodařilo najít žádné soubory, které by zahrnovaly uživatelská data, i když vzhledem k velikosti může prohledávání ještě nějaký čas trvat.

 

Společnost Bad Packets v minulosti uvedla, že v obou případech mohli hackeři zneužít chyby serverů Citrix ADC, které administrátoři ponechali bez opravy. Zranitelnost CVE-2019-19781 přitom patří k oblíbeným vrátkům autorů ransomwaru Maze.

 

Zdroj: ZDNet.com