Halliburton kibernetinė ataka, susijusi su RansomHub išpirkos reikalaujančių programų gauja


RansomHub išpirkos reikalaujančių programų gauja yra už neseniai įvykusios kibernetinės atakos prieš naftos ir dujų paslaugų milžinę „Halliburton“, kuri sutrikdė įmonės IT sistemas ir verslo operacijas.

Ataka sukėlė plačius sutrikimus, o „BleepingComputer“ buvo pranešta, kad klientai negali sugeneruoti sąskaitų faktūrų ar pirkimo užsakymų, nes neveikia reikiamos sistemos.

Halliburtonas atskleidė ataką praėjusį penktadienį SEC pareiškime, nurodydamas, kad 2024 m. rugpjūčio 21 d. jie patyrė kibernetinę ataką, kurią įvykdė neleistina šalis.

„2024 m. rugpjūčio 21 d. „Halliburton Company“ („Įmonė“) sužinojo, kad neteisėta trečioji šalis gavo prieigą prie tam tikrų jos sistemų“, – rašoma „Halliburton“ SEC paraiškoje.

„Bendrovei sužinojus apie šią problemą, bendrovė suaktyvino kibernetinio saugumo reagavimo planą ir, padedama išorės patarėjų, pradėjo vidaus tyrimą, siekdama įvertinti ir ištaisyti neteisėtą veiklą.

Bendrovė teikia daugybę paslaugų naftos ir dujų įmonėms, įskaitant gręžinių statybą, gręžimą, hidraulinį ardymą (frakingą), IT programinę įrangą ir paslaugas. Dėl plataus įmonės teikiamų paslaugų spektro tarp jų ir klientų yra labai daug ryšio.

Tačiau bendrovė nepasidalijo daugybe detalių apie išpuolį, o vienas naftos ir dujų pramonės klientas „BleepingComputer“ pasakė, kad jiems liko nežinoma, ar ataka paveikė juos ir kaip apsisaugoti.

Dėl to kiti klientai atsijungė nuo Halliburton, nes trūksta informacijos.

„BleepingComputer“ taip pat buvo pranešta, kad kai kurios įmonės bendradarbiauja su ONG-ISAC – agentūra, kuri veikia kaip centrinis koordinavimo ir komunikacijos taškas sprendžiant fizinio ir kibernetinio saugumo grėsmes naftos ir dujų pramonei, kad gautų techninę informaciją apie ataką, kad nustatytų, ar jos taip pat buvo pažeisti.

RansomHub ransomware už ataką

Jau kelias dienas sklando gandai, kad Halliburton patyrė RansomHub išpirkos reikalaujančios programos ataką, o vartotojai tai tvirtino Reddit ir atleidimo iš darbo diskusijų svetainėje TheLayoff, kur buvo paskelbta dalinė RansomHub išpirkos pastaba.

Kai „BleepingComputer“ susisiekė su „Halliburton“ dėl šių pretenzijų, Halliburton pasakė, kad daugiau nieko nekomentuoja.

„Mes nekomentuojame daugiau, nei buvo įtraukta į mūsų prašymą. Bet koks tolesnis pranešimas bus 8-K forma”, – „BleepingComputer” sakė Halliburtonas.

Tačiau rugpjūčio 26 d. el. laiške, kuris buvo išsiųstas tiekėjams ir pasidalintas su „BleepingComputer“, „Halliburton“ pateikė papildomos informacijos, nurodydama, kad bendrovė atjungė sistemas, kad jas apsaugotų, ir bendradarbiauja su „Mandiant“, kad ištirtų incidentą.

„Mes susisiekiame, kad informuotume jus apie kibernetinio saugumo problemą, turinčią įtakos Halliburtonui“, – rašoma „BleepingComputer“ pateiktame laiške.

„Kai tik sužinojome apie problemą, suaktyvinome savo kibernetinio saugumo reagavimo planą ir ėmėmės veiksmų jai išspręsti, įskaitant (1) aktyvų tam tikrų sistemų atjungimą, kad padėtume jas apsaugoti, (2) pasitelkti pirmaujančių išorės patarėjų, įskaitant Mandiant, paramą. ir 3) pranešti teisėsaugai“.

Jie taip pat pareiškė, kad jų el. pašto sistemos ir toliau veikia, nes jos yra priglobtos „Microsoft Azure“ infrastruktūroje. Taip pat galimas sprendimas atliekant sandorius ir išduodant pirkimo užsakymus.

Šiame el. laiške pateikiamas IOC sąrašas, kuriame yra su ataka susijusių failų pavadinimai ir IP adresai, kuriuos klientai gali naudoti norėdami aptikti panašią veiklą savo tinkle.

Vienas iš šių IOC yra skirtas Windows vykdomajam failui karbantartás.exekurį „BleepingComputer“ patvirtino kaip „RansomHub“ išpirkos reikalaujančių programų šifruotoją.

Išanalizavus pavyzdį atrodo, kad tai naujesnė versija nei anksčiau, nes jame yra naujas „-cmd eilutė” komandinės eilutės argumentas, kuris prieš užšifruodamas failus vykdys komandą įrenginyje.

„RansomHub“ šifratorius, naudojamas Halliburton atakoje
„RansomHub“ šifratorius, naudojamas Halliburton atakoje
Šaltinis: BleepingComputer

RansomHub

RansomHub ransomware operacija buvo pradėta 2024 m. vasario mėn., teigdama, kad tai duomenų vagystės prievartavimo ir turto prievartavimo grupė, kuri pardavė pavogtus failus didžiausią kainą pasiūliusiam pirkėjui.

Tačiau netrukus po to buvo išsiaiškinta, kad operacija taip pat naudojo išpirkos reikalaujančius šifruotojus savo dvigubo turto prievartavimo atakose, kai grėsmės veikėjai įsilaužė į tinklus, pavogė duomenis ir užšifravo failus.

Tada užšifruoti failai ir pavogtų duomenų nutekinimo grėsmė buvo panaudota kaip svertas, siekiant įbauginti įmones mokėti išpirką.

„Symantec“ išanalizavo išpirkos reikalaujančius šifruoklius ir pranešė, kad jie buvo pagrįsti „Knight“ išpirkos reikalaujančių programų šifratoriais, anksčiau vadintais „Cyclops“.

„Knight“ operacija teigė, kad jie pardavė savo šaltinio kodą 2024 m. vasario mėn. ir užsidarė kaip tik paleidus „RansomHub“. Tai privertė daugelį tyrinėtojų patikėti, kad „RansomHub“ yra „Knight“ išpirkos reikalaujančios programos operacijos keitimas.

Šiandien FTB paskelbė pranešimą apie „RansomHub“, kuriame dalijasi grėsmės veikėjo taktika ir perspėjo, kad nuo vasario mėnesio jie pažeidė mažiausiai 210 aukų.

Įprasta, kad FTB ir CISA paskelbia suderintus patarimus dėl grėsmių subjektų netrukus po to, kai jie įvykdo labai paveikią ataką prieš svarbiausią infrastruktūrą, pvz., Halliburtoną. Tačiau nežinoma, ar patarimas ir išpuolis yra susiję.

Nuo metų pradžios „RansomHub“ buvo atsakinga už daugybę didelio atgarsio sulaukusių išpuolių, įskaitant atakas prieš Amerikos ne pelno siekiančią kredito uniją „Patelco“, vaistinių tinklą „Rite Aid“, aukcionų namus „Christie's“ ir JAV telekomunikacijų tiekėją „Frontier Communications“.

Išpirkos reikalaujančios programinės įrangos operacijos duomenų nutekėjimo svetainė taip pat buvo panaudota pavogtiems duomenims, priklausantiems „Change Healthcare“, nutekėjus po „BlackCat“ ir „ALPHV“ išpirkos reikalaujančių programų operacijos nutraukimo.

Manoma, kad „BlackCat“ užsidarius, kai kurios su juo susijusios įmonės persikėlė į „RansomHub“, o tai leido jiems greitai eskaluoti atakas su patyrusiais išpirkos programų grėsmės veikėjais.



Source link

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Fotofilmų kūrimas - Miesto naujienos - Šeimos gydytojai - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Nuotekų valymo įrenginiai - Teniso treniruotės - Pranešimai spaudai -