Хакер #305. Многошаговые SQL-инъекции
Американский фермерский кооператив NEW Cooperative, занимающийся производством кормов и зерна, а также работающий в областях агрономии, энергетики и программного обеспечения для фермеров, подвергся атаке шифровальщика BlackMatter. Хакеры потребовали 5,9 млн долларов за дешифратор, и заявили, что сумма возрастет до 11,8 миллиона долларов, если выкуп не будет выплачен в течение пяти дней. Также в случае неуплаты злоумышленники угрожают обнародовать украденные у пострадавших данные (якобы украдено более 1000 Гб).
Журналисты издания Bleeping Computer сообщают, что представители NEW Cooperative уже подтвердили факт атаки и рассказали, что пока отключили свои системы, чтобы сдержать распространение атаки. В настоящее время угроза «успешно локализована», и NEW Cooperative работает над расследованием ситуации совместно с правоохранительными органами и ИБ-экспертами.
Судя по сайту группировки, злоумышленники утверждают, что похитили исходный код проекта soilmap.com, результаты исследований и разработок, конфиденциальную информацию о сотрудниках, финансовые документы и базу данных менеджера паролей KeePass.
Интересно, что, судя по скриншотами переписки NEW Cooperative и вымогателей, опубликованным в Twitter, пострадавшие поинтересовались у хакеров, почему они вообще подверглись атаке, ведь NEW Cooperative считается частью критически важной инфраструктуры, и атака может привести к перебоям в поставках зерна, свинины и курицы.
Стоит напомнить, что летом текущего года шифровальщик DarkSide атаковал крупнейшего в США оператора трубопроводов Colonial Pipeline, занимающегося транспортировкой топлива. В итоге эта атака, из‑за которой в ряде штатов был введен режим ЧС, стала той самой соломинкой, способной переломить спину верблюда: внимание правоохранительных органов к шифровальщикам усилилось, а на хакерских форумах поспешили запретить рекламу вымогательского ПО. С тех пор многие вымогатели строго запрещают своим «партнерам» атаковать объекты критической инфраструктуры, медицинские учреждения, правительства ряда стран и так далее.
И хотя у BlackMatter есть аналогичные запреты, злоумышленники ответили, что NEW Cooperative «не подпадает под эти правила», и пригрозили удвоить выкуп, если компания не изменит свой подход к переговорам.
? BlackMatter #Ransomware group just ransomed another food critical infrastructure in the US, The ransom demand is 5,900,000$ for now ?
— DarkFeed (@ido_cohen2) September 20, 2021
The victim is playing by the rules: "@CISAgov is going to be demanding answers from us within the next 12 hours" ?#BlackMatter pic.twitter.com/Iciet8lhwQ
#BlackMatter #ransomware making wrong choices again pic.twitter.com/xZq7himn1o
— ?????? ?????????? (@ddd1ms) September 20, 2021
«Я вам не угрожаю. Это просто не в наших силах. Мы не можем контролировать действия регуляторов и правительства США, — писал представитель NEW Cooperative хакерам. —Последствия этой атаки, скорее всего, будут гораздо хуже, чем атака на трубопровод, и мы не может это контролировать, учитывая, что [атака] уже привела к сбоям. Я просто говорю, чтобы вы не удивлялись, поскольку не похоже, что вы поняли, кто мы такие и какую роль наша компания играет в цепочке поставок продуктов питания».
На это представитель BlackMatter ответил весьма лаконично:
«Никто не даст вам дешифратор бесплатно, ищите деньги».
Также нужно сказать, что многие ИБ-специалисты считают, что BlackMatter — это возрожденный DarkSide, то есть шифровальщик, созданный теми же авторами. Из-за этого теперь в ИБ-сообществе шутят, что, атаковав NEW Cooperative, операторы DarkSide вновь сделали неверный выбор.