От хакерской атаки пострадала американская компания NCR, специализирующаяся на производстве платежных терминалов, банкоматов, POS-терминалов, считывателей штрих-кодов, а также являющаяся провайдером различных аутсорсинговых ИТ-услуг. Ответственность за атаку на POS-систему Aloha, используемую в ресторанно-гостиничном бизнесе, взяла на себя вымогательская группировка BlackCat (она же ALPHV).
POS-платформа Aloha перестала работать, еще в середине прошлой недели, а клиенты полностью лишились возможности ею пользоваться. После нескольких дней молчания NCR наконец сообщила, что сбой был вызван вымогательской атакой, которая затронула центры обработки данных, связанные с Aloha.
«Сообщаем дополнительную информацию о сбое в работе центра обработки данных, который затронул ограниченное количество служебных приложений Aloha у некоторой части наших клиентов, работающих в ресторанно-гостиничной сфере, — сообщается в письме, разосланном клиентам Aloha. — 13 апреля мы смогли подтвердить, что перебои в работе были вызваны инцидентом с вымогательским ПО. Сразу после обнаружения инцидента мы начали связываться с клиентами, привлекли сторонних экспертов по кибербезопасности и начали расследование. Также о произошедшем были уведомлены правоохранительные органы».
Хотя в письме утверждается, что сбой коснулся лишь «служебных приложений» и затронул небольшую часть клиентов, на Reddit пострадавшие сообщают, что на самом деле атака вызвала значительные проблемы в их работе.
«Я менеджер ресторана, у нас небольшая франшиза, примерно на 100 сотрудников. Сейчас мы работаем по старинке, как в каменном веке, на бумаге и отправляем все это в головной офис. Вся эта ситуация — огромная головная боль», — говорит один из клиентов POS-системы Aloha.
Другие пользователи рекомендуют извлекать данные из файлов вручную, пока не закончится сбой.
Представители NCR уверили представителей издания Bleeping Computer, что они уже наметили «четкий путь к восстановлению», и компания трудится над починкой пострадавших систем круглосуточно. «Кроме того, мы предоставляем клиентам специализированную помощь и временные решения для поддерания их операций, пока ведутся работы», — говорят в компании.
Хотя в NCR не сообщили, какая группировка стояла за атакой, ИБ-исследователь Доминик Аливьери обнаружил сообщение, опубликованное на «сайте для утечек» хак-группы BlackCat (ALPHV), в котором злоумышленники берут ответственность за атаку на себя.
К этому посту был приложен фрагмент лога чата, в котором проходили переговоры между представителем NCR и вымогателями. Там хакеры сообщили, что не похитили никакие данные, хранящихся на серверах, в ходе атаки. Однако злоумышленники заявляют, что украли учетные данные клиентов NCR и угрожают опубликовать их, если не будет выплачен выкуп.
«Мы захватали много учетных данных ваших клиентов, которые используются для подключения к Insight, Pulse и так далее. Мы предоставим вам список после оплаты», — сообщили хакеры.
С тех пор BlackCat удалила это сообщение со своего «сайта для утечек», вероятно, надеясь, что с компанией удастся договориться о выплате выкупа.
