В конце июля 2020 года компания Konica Minolta подверглась атаке вируса-вымогателя RansomEXX. Часть файлов компании были зашифровано. Частично перестала работать IT-инфраструктура, техническая поддержка пользователей была приостановлена.
Многие пользователи с начала августа и до настоящего времени жалуются, что у них не открывается корпоративный портал Konica Minolta. У части клиентов компании принтеры и МФУ начали выдавать ошибку обслуживания «Service Notification Failed», которую никак нельзя было убрать. Специалисты Konica Minolta даже выпустили специальную инструкцию для системных администраторов, как сбросить эту ошибку.
Konica Minolta не раскрыла детали инцидента, но предупредила своих клиентов, что прилагает все усилия, чтобы решить эту проблему. В компании работает около 44 тыс. сотрудников по всему миру. Konica Minolta предлагает широкий спектр услуг и продуктов, начиная от решений для корпоративной и домашней печати, так и технологий для здравоохранения и организации IT-услуг. Помимо проблем внутри компании также большая часть пользовательских сервисов была не менее недели парализована из-за атаки злоумышленников.
Издание BleepingComputer получила информацию от неназванного сотрудника Konica Minolta с образцами зашифрованных файлов и копией файла с текстом о выкупе. Оказалось, что многие данные на серверах и ПК компании были зашифрованы и к этим файлам было добавлено расширение .K0N1M1N0.
Эксперты BleepingComputer проанализировали полученные данные и пришли к выводу, что IT-инфраструктура Konica Minolta была атакована относительно новой программой-вымогателем под названием RansomEXX. В конце июля злоумышленники использовали эту вредоносную программу для атаки на министерство транспорта Техаса. Оператор вручную управляет развертыванием RansomEXX в ходе атаки на определенную компанию. Перед этим злоумышленники проводят предварительную атаку с помощью других программных средств на сеть предприятия для компрометации учетных данных администраторов. Далее после получения необходимых прав и доступа к контроллеру домена Windows, операторы зловреда развертывают программу-вымогатель во внутренней сети компании и шифруют данные на всех доступных устройствах. Вирус-вымогатель RansomEXX не крадет данные перед шифрованием устройств.
У издания BleepingComputer нет информации, что Konica Minolta заплатила выкуп за расшифровку файлов.
Это уже третья подтвержденная и состоявшаяся атака на различные IT-компании с помощью вирусов-вымогателей за последние несколько недель.
Ранее в конце июля этого года американское подразделение компании Canon подверглось атаке программы-вымогателя Maze Ransomware. Из-за инцидента стали недоступны внутренние и пользовательские сервисы компании, включая корпоративную электронную почту Canon, сервис Microsoft Teams, веб-сайт компании, мобильное приложение и облачное хранилище пользовательских изображений image.canon. Сейчас злоумышленники опубликовали часть зашифрованных файлов компании и обещают продолжить это делать далее.
24 июля 2020 года отключились сервисы Garmin Connect для носимой электроники Garmin. Не работали сайт Garmin.com, колл-центр компании, онлайн-чат и даже часть производственной линии в Тайване. Вину возложили на шифровальщик WastedLocker. В самой компании подтвердили факт инцидента, но не раскрыли его детали. Специалисты Garmin несколько суток занимались восстановлением IT-инфраструктуры компании.
1 августа 2020 года стало известно, что Garmin все же купила у хакеров ключ для расшифровки файлов после масштабной атаки вируса-вымогателя WastedLocker на сервисы компании.
См. также:
algotrader2013
Походу, пора начать продавать специальные raid контроллеры для бекапов с аппаратной защитой от стирания или модификации файлов, свежее X дней, или, как вариант, давать облачный сервис для бекапов, где у бекапа будет гарантированный срок жизни, в течении которого даже с админским доступом не удалишь его.
DaemonGloom
Ваши требования уже исполнены. Называются «ротация кассет» (ну или дисков) для первого варианта и amazon S3 для второго.
algotrader2013
Интересно, разве S3 не позволит хакерам удалить бекапы, дорвавшись до кредов админа?
DaemonGloom
Есть метод у них S3 Object Lock. Позволяет задать период, в который с файлом вообще никакие модификации не получится сделать. Утёкшие учётные данные здесь не помогут удалить файлы.
docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html
vmkazakoff
Ну за исключением когда вирус вымогатель проберется в Амазон (да не, ну бред же)…
Но там тогда весь интернет встанет враскоряку немного, что сами кулхацкеры не обрадуются.