Операторы шифровальщика Maze сдержали свое обещание: не получив выкупа от LG Electronics и Xerox, злоумышленники опубликовали на своем сайте похищенные у компаний данные. Так, хакеры обнародовали 50,2 Гб данных, которые они якобы похитили из внутренней сети LG, а также 25,8 Гб данных, якобы принадлежащие компании Xerox.
Если кто-то из наших читателей давно не следил за новостями, напомню, что с конца 2019 года разработчики вымогательской малвари стали «работать» по новой схеме, которая позволяет им получать от жертв больше денег. По сути, они требуют у пострадавших компаний два выкупа: один за расшифровку данных, а другой за удаление информации, которую похищают во время атаки. В случае неуплаты злоумышленники угрожают опубликовать эти данные в открытом доступе.
Все началось с операторов шифровальщика Maze, которые стали публиковать файлы, похищенные ими у атакованных компаний, если жертвы открывались платить. Хакеры завели для таких «сливов» специальный сайт, и уже скоро их примеру последовали другие группировки, включая Sodinokibi, DopplePaymer, Clop, Sekhmet, Nephilim, Mespinoza, Ako, Netwalker и так далее.
ИБ-специалисты полагают, что компании LG Electronics и Xerox, вероятно, были скомпрометированы благодаря уязвимости CVE-2019-19781, которая затрагивает ряд версий Citrix Application Delivery Controller (ADC), Citrix Gateway, а также две старые версии Citrix SD-WAN WANOP. Эту проблему обнаружили еще в конце 2019 года, и уже тогда аналитики предупреждали, что в открытом доступе можно обнаружить более 80 000 уязвимых серверов, то есть проблема угрожали десяткам тысяч компаний из 158 странах мира.
LG Electronics
Издание ZDNet пишет, что судя по скриншотам, опубликованными группировкой Maze еще в конце июня, а также по образцам файлов из дампа, украденная у LG информация включет в себя исходные коды прошивок для различных продуктов компании, в том числе для телефонов и ноутбуков.
Операторы Maze рассказали журналистам, что вообще не пытались запустить шифровальщика в сети компании. Хакеры попросту украли проприетарные данные LG и сразу перешли ко второму этапу вымогательства.
«Мы решили не выполнять [шифрование], так как у них есть социально значимые клиенты, а мы не хотели создавать проблемы в их работе, поэтому мы только похитили данные», — говорят хакеры.
Представители LG отказались давать комментарии о происходящем.
Xerox
Как развивалась атака на компанию Xerox на данный момент практически неизвестно. Так, неясно, какие внутренние системы компании пострадали от шифровальщика Maze, и применялось ли шифрование вообще, или группировка предпочла только похитить у компании файлы, как произошло в случае с LG.
Беглый анализ обнародованных данных показал, что хакеры украли информацию, связанную с операциями поддержки клиентов. В частности, журналистам ZDNet удалось обнаружить данные, касающиеся сотрудников Xerox, но пока не были найдены какие-либо данные о клиентах компании. Впрочем, издание отмечает, что из-за большого объема дампа для его детального изучения потребуется немало времени.