В конце июля 2020 года американское подразделение компании Canon подверглось атаке программы-вымогателя. Из-за инцидента стали недоступны внутренние и пользовательские сервисы компании, включая корпоративную электронную почту Canon, сервис Microsoft Teams, веб-сайт компании, мобильное приложение и облачное хранилище пользовательских изображений image.canon.
IT-специалисты Canon смогли справиться с ситуацией в течение шести суток и еще продолжают работы. 4 августа 2020 года почти все сервисы внутри компании были восстановлены. Однако в процессе проведения работ из-за сбоя была утеряна часть фотографий и видео, которые были размещены в бесплатном облачном хранилище пользователей. Сейчас там доступны только эскизы удаленных файлов. Представители Canon не уточнили причину проблемы и пояснили, что утечки данных изображений пользователей не было.
Журналисты издания BleepingComputer получили информацию от неназванных сотрудников Canon, что проблема является более серьезной, чем написано в официальном сообщении, и затронула потерю или утечку около 10 ТБ данных компании. Вероятно, это была атака вируса-вымогателя Maze Ransomware.
Maze Ransomware — это программа-вымогатель, которая взламывает и незаметно распространяется по сети предприятия, пока не получит доступ к учетной записи администратора и системному контроллеру домена Windows. Одновременно с этим Maze Ransomware крадет незашифрованные файлы с серверов компании, загружая их на серверы злоумышленников. Как только хакеры получают доступ к контроллеру домена, все устройства в сети блокируются программой-вымогателем, пока жертва не заплатит выкуп.
Издание связалось с представителями хакерской группировки Maze, которые рассказали, что действительно получили доступ внутрь сети компании и скачали 10 ТБ данных, включая несколько баз данных, хранящихся на серверах Canon. Хакеры пояснили, что зашифровали украденные данные и их резервные копии и выслали Canon инструкцию по оплате выкупа и доступу к похищенным данным. Если компания Canon не примет их предложение, то, Maze планирует опубликовать похищенные данные Canon в открытом доступе.
С 30 июля по настоящее время не доступны некоторые страницы на сайте компании.
Сервисы и домены, которые до сих пор не доступны из-за инцидента в Canon:
- (www).canonusa.com;
- (www).canonbroadcast.com;
- b2cweb.usa.canon.com;
- canondv.com;
- canobeam.com;
- canoneos.com;
- bjc8200.com;
- canonhdec.com;
- bjc8500.com;
- usa.canon.com;
- imagerunner.com;
- multispot.com;
- canoncamerashop.com;
- canoncctv.com;
- canonhelp.com;
- bjc-8500.com;
- canonbroadcast.com;
- imageland.net;
- consumer.usa.canon.com;
- bjc-8200.com;
- bjc3000.com;
- downloadlibrary.usa.canon.com;
- (www).cusa.canon.com;
- (www).canondv.com.
В настоящее время специалисты Canon продолжают расследование и локализацию инцидента. Компания отказалась предоставить дополнительную информацию об атаке.
Ранее 24 июля 2020 года отключились сервисы Garmin Connect для носимой электроники Garmin. Не работали сайт Garmin.com, колл-центр компании, онлайн-чат и даже часть производственной линии в Тайване. Вину возложили на шифровальщик WastedLocker. В самой компании подтвердили факт инцидента, но не раскрыли его детали. Специалисты Garmin несколько суток занимались восстановлением IT-инфраструктуры компании.
1 августа 2020 года стало известно, что Garmin все же купила у хакеров ключ для расшифровки файлов после масштабной атаки вируса-вымогателя WastedLocker на сервисы компании.
См. также:
v1000
Компании экономят на админах и информационной безопасности своих данных, чтобы на сэкономленные деньги выкупать свои-же данные.