Automobilių milžinę DENSO užpuolė nauja „Pandora“ išpirkos reikalaujančių programų gauja


Automobilių dalių gamintojas DENSO patvirtino, kad kovo 10 d. patyrė kibernetinę ataką, kai iš naujos išpirkos reikalaujančios programos „Pandora“ operacijos pradėjo nutekėti duomenys, tariamai pavogti per ataką.

DENSO yra vienas didžiausių pasaulyje automobilių komponentų gamintojų, tiekiantis tokioms markėms kaip Toyota, Mercedes-Benz, Ford, Honda, Volvo, Fiat ir General Motors platų elektrinių, elektroninių, jėgos pavaros valdymo ir kitų dalių asortimentą. specializuotos dalys.

Bendrovė veikia iš Japonijos, tačiau visame pasaulyje turi daugiau nei 200 dukterinių įmonių ir 168 391 darbuotoją, o 2021 m. pajamos sieks 44,6 mlrd. USD.



DENSO nukentėjo Pandora išpirkos reikalaujančių programų gauja

DENSO šį savaitgalį patvirtino, kad jos korporatyvinis tinklas Vokietijoje buvo pažeistas 2022 m. kovo 10 d. pranešime, kuriuo pasidalino su „BleepingComputer“.

Bendrovė teigia aptikusi nelegalią prieigą ir nedelsdama reagavo siekdama izoliuoti įsibrovėlį nuo likusių tinkle esančių įrenginių, apribodama poveikį tik Vokietijos padaliniui.

„DENSO patvirtino, kad 2022 m. kovo 10 d. trečioji šalis neteisėtai prisijungė prie jos grupės įmonės tinklo Vokietijoje“, – rašoma DENSO pranešime spaudai.

„Aptikęs neteisėtą prieigą, DENSO nedelsdamas nutraukė įrenginių, kuriems buvo suteikta neteisėta prieiga, tinklo ryšį ir patvirtino, kad tai neturi įtakos kitoms DENSO priemonėms.

Visos gamyklos ir gamybos įrenginiai ir toliau veikia įprastai, todėl tiekimo grandinės sutrikimų dėl šio saugumo incidento nenumatoma.

DENSO tiekimo grandinės sutrikimas sukeltų svyravimo poveikį automobilių gamybai daugelyje gamyklų visame pasaulyje, o tai pakenktų pramonei, kuri ir taip kovoja su lustų trūkumu ir gamyklų uždarymu Ukrainoje.

Nors DENSO teigia, kad kibernetinė ataka neturėjo įtakos jos veiklai, naujoji „Pandora“ išpirkos programų gauja pradėjo nutekėti 1,4 TB failų, tariamai pavogtų per tinklo pažeidimą.

DENSO pranešimas „Pandora“ nutekėjimo portale

DENSO pranešimas „Pandora“ nutekėjimo portale

„Bleeping Computer“ matomi nutekintų duomenų pavyzdžiai: pirkimo užsakymai, techninės schemos, neatskleidimo sutartys ir kt. Šiuo metu negalime patikrinti, ar nutekinti failai buvo pavogti per pastarąjį incidentą.

DENSO apie pažeidimą informavo vietos tyrimo institucijas, todėl jei platinami failai yra autentiški, jų kopijavimas, dalijimasis ar publikavimas reikštų bendrovės intelektinės nuosavybės teisių pažeidimą.

Nors Pandora yra išpirkos reikalaujančių programų gauja, turinti savo šifruotę, nežinoma, ar jie sėkmingai užšifravo failus DENSO tinkle prieš aptinkant ataką.

Saugumo tyrinėtojas teigė, kad prieš kelis mėnesius tamsioje interneto prekyvietėje matė tinklo prieigos sąrašą ir įspėjo DENSO apie pavogtus kredencialus.

Nors išankstinės prieigos pasiūlymo pirkimas yra vienas iš galimų scenarijų, bendrovė šiuo metu neatskleidė, kaip jie buvo pažeisti.

DENSO kibernetinė ataka yra trečioji 2022 m. prieš pagrindinį automobilių gamintoją ar automobilių dalių gamintoją.

Vasario mėnesį didžiausia pasaulyje automobilių gamintoja „Toyota“ turėjo sustabdyti gamybą 14-oje savo gamyklų Japonijoje dėl katastrofiško kompiuterio gedimo viename iš pagrindinių tiekėjų.

Praėjusią savaitę „Bridgestone“ patvirtino, kad vasario pabaigoje įvyko išpirkos reikalaujančios programinės įrangos ataka, už kurią atsakomybę prisiėmė „LockBit“ grupė, pranešdama žiniasklaidai, kad dėl to kai kurios jos operacijos Šiaurės ir Pietų Amerikoje nutrūko.

Kas yra Pandora ransomware?

Pandora Hive ransomware yra nauja operacija, pradėta 2022 m. kovo mėn., kuri nukreipta į įmonių tinklus ir vagia duomenis dvigubo turto prievartavimo atakoms.

Gavę prieigą prie tinklo, grėsmės veikėjai pasklis į šoną per tinklą ir pavogs nešifruotus failus, kad galėtų naudoti prievartavimo reikalavimams.

Šifruojant įrenginį, išpirkos reikalaujanti programa pridės .Pandora plėtinį į užšifruotus failų pavadinimus, kaip parodyta toliau.

Failai, užšifruoti naudojant Pandora ransomware

Failai, užšifruoti naudojant Pandora ransomware
Šaltinis: BleepingComputer

Kadangi išpirkos reikalaujanti programa užšifruoja jūsų failus, „Pandora“ sukurs išpirkos užrašus kiekviename aplanke pavadinimu „ Atkurti_My_Files.txt “. Šiuose išpirkos raštuose paaiškinama, kas nutiko įrenginiui, ir pateikiamas el. pašto adresas, kuriuo aukos gali susisiekti derybose dėl išpirkos.

Pandoros išpirkos raštelio pavyzdys
Šaltinis: BleepingComputer

Išpirkos užrašuose taip pat yra nuoroda į duomenų nutekėjimo svetainę, kurią naudojo išpirkos reikalaujančių programų gauja, vykdydama savo dvigubas turto prievartavimo kampanijas.

Kadangi išpirkos reikalaujančios programos operacija yra labai nauja, nežinoma, kaip jie gauna prieigą prie įmonių tinklų ir kiek reikalauja išpirkos.

Kai kurie saugumo tyrinėtojai mano, kad „Pandora“ yra prekės ženklo keitimas „Rook“ išpirkos reikalaujančių programų dėl kodų panašumų ir operacijos metu naudojamų pakuočių.

„Intezer“ aptinka „Pandora“ išpirkos reikalaujantį pavyzdį „VirusTotal“ kaip „Rook“, nurodydamas kodo panašumus.

Be to, saugumo tyrėjas arkos paukštis atrado, kad „Pandora“ naudoja tą patį vykdomąjį paketą kaip „NightSky“, ankstesnį „LockFile“ / „AtomSilo“ išpirkos reikalaujančių operacijų prekės ženklą.

Manoma, kad „Rook“ taip pat yra pagrįstas Babuk išpirkos reikalaujančios programinės įrangos operacijos šaltinio kodu, kuris praėjusį rugsėjį buvo nutekintas įsilaužėlių forume.

Įdomu tai, kad 2021 m. gruodį Rookas taip pat paskelbė duomenis, kurie tariamai priklausė DENSO, todėl neaišku, ar įmonė du kartus nukentėjo nuo tos pačios išpirkos reikalaujančios operacijos.

„Ransomware“ operacijos paprastai pervadina save į tai, ką saugumo bendruomenė vadina „prekės ženklo keitimu“, tikėdamasi, kad tai padės išvengti teisėsaugos ir galimų vyriausybės sankcijų.

Tačiau, nebent grėsmės veikėjai visiškai pakeis kenkėjiškų programų kodą, įrankius ir taktiką, visada bus būdų aptikti, kada gauja keičia prekės ženklą, todėl bus lengva susieti su ankstesnėmis išpirkos reikalaujančiomis operacijomis.

Jei „Pandora“ yra „Rook“ prekės ženklo keitimas, veikiausiai kurį laiką matysime operaciją šiuo pavadinimu, kol ji vėl bus pakeista, kaip matėme anksčiau su kitomis šios išpirkos reikalaujančių programų šeimos versijomis.

Ką tu manai?