Компания Toyota Financial Services (TFS), дочерняя компания Toyota Motor Corporation, обнаружила несанкционированный доступ к своим системам в Европе и Африке. Одновременно с этим хак-группа Medusa внесла компанию в список своих жертв, потребовав 8 000 000 долларов выкупа за удаление якобы украденных данных.
Toyota Financial Services является международной компанией, которая присутствует на 90% рынков, где Toyota продает свои автомобили и предоставляет своим клиентам услуги автокредитования.
«Недавно Toyota Financial Services Europe & Africa выявила несанкционированную активность в системах некоторых подразделений. Мы отключили ряд систем для расследования этой активности и снижения рисков, а также начали сотрудничать с правоохранительными органами. В большинстве стран наши системы уже возвращаются в онлайн, — говорится в официальном сообщении компании. — Мы прилагаем все усилия для скорейшего восстановления работоспособности систем и сожалеем о любых неудобствах, причиненных нашим клиентам и деловым партнерам. По данным на текущий момент, этот инцидент затрагивает только Toyota Financial Services Europe & Africa».
Ранее на этой неделе хакеры из группировки Medusa опубликовали заявление о взломе TFS на своем «сайте для утечек» в даркнете. Злоумышленники требуют 8 000 000 долларов выкупа за удаление якобы украденных данных и дали компании 10 дней на принятие решения (с возможностью продления срока за 10 000 долларов в день). В случае невыплаты выкупа, хакеры угрожают опубликовать похищенную информацию в открытом доступе.
В качестве доказательства взлома хакеры опубликовали образцы данных, включая финансовые документы, электронные таблицы, инвойсы, хешированные пароли от учетных записей, идентификаторы и пароли пользователей в открытом виде, договоры, сканы паспортов, внутренние организационные схемы, отчеты о финансовой деятельности, адреса электронной почты сотрудников и многое другое.
Большинство документов написано на немецком языке, то есть, похоже, хакерам удалось получить доступ к системам европейских подразделений Toyota.
После того как Medusa объявила о взломе TFS, известный специалист по безопасности Кевин Бомонт (Kevin Beaumont) обратил внимание на тот факт, что в немецком офисе компании существует эндпоинт Citrix Gateway, не обновлявшийся с августа 2023 года, то есть уязвимый перед критической проблемой Citrix Bleed (CVE-2023-4966).
Ранее на этой неделе ИБ-специалист предупреждал, что операторы вымогательского ПО Lockbit активно используют общедоступные эксплоиты для Citrix Bleed и уже взломали такие компании, Промышленный и коммерческий банк Китая (ICBC), DP World и Boeing. Похоже, что атака на Toyota так же может оказаться связана с этой уязвимостью.