Firma przewozowa Bay & Bay z Minnesoty kolejny raz stała się celem ataku ransomware. Kierownik firmy twierdzi, że przewoźnik był lepiej przygotowany, ale i tak „było źle”. Hakerzy zamierzający wymusić okup na przewoźniku z Eagan, użyli złośliwego oprogramowania w celu zaszyfrowania danych w systemach firmy.
Firma przewozowa Bay & Bay celem ataku ransomware
Firma przewozowa Bay & Bay już wcześniej przechodziła podobny problemy. Atak ransomware w 2018 roku sparaliżował jej systemy i ostatecznie skłonił firmę do zapłacenia przestępcom.
Dobrą stroną tamtego ataku jest to, że teraz mamy o wiele lepsze narzędzia, systemy i procesy, niż trzy lata temu, ale wiedzieliśmy, że i tym razem było źle — powiedział portalowi FreightWaves Wade Anderson, dyrektor ds. technologii i szef marketingu w Bay & Bay.
Firma przewozowa Bay & Bay została zaatakowana przez gang hakerów ransomware o nazwie Conti. Grupa ta — tak zwany dostawca usług w zakresie ransomware — dostarcza złośliwe oprogramowanie, platformę wymuszania okupu oraz wsparcie dla podmiotów powiązanych, które otrzymują procent od płatności dokonywanych przez ofiary. Conti zostało powiązane z setkami ataków, w tym z wieloma na amerykańskie firmy transportowe i logistyczne.
Anderson początkowo twierdził, że atak „zniszczył prawie wszystko”, co nie było w chmurze. W późniejszym wywiadzie powiedział jednak, że oprogramowanie ransomware wpłynęło tylko na niektóre systemy firmy i „niewielką ilość” komputerów stacjonarnych, ale wszystko i tak zostało wyłączone, jako środek ostrożności. Stwierdził, że firma wprowadziła środki w celu zminimalizowania skutków, w tym segmentację sieci. Dzięki temu firma była w stanie powrócić do „90% funkcjonalności” w ciągu około półtora dnia. Przypisał te zasługi szybkiemu działaniu, szkoleniom i kopiom zapasowym w chmurze.
Dobrze radzimy sobie z usuwaniem skutków awarii. Ta była większym wyzwaniem, ponieważ sama Conti jest naprawdę paskudna — powiedział.
Czytaj też: RPA: Ruch w kapsztadzkim porcie wstrzymany przez… atak hakerski
Przestępcy wykorzystali lukę w serwerze
Firma przewozowa Bay & Bay, która posiada flotę ponad 400 agregatów prądotwórczych, ujawniła atak po tym, jak Conti zaczęła umieszczać w dark webie dane wykradzione z firmy. Grupy takie jak Conti robią to zazwyczaj po tym, jak ofiary odmawiają zapłacenia okupu.
Przewoźnik został zaatakowany przez znaną lukę w serwerze Microsoft Exchange. Microsoft wydał 9 listopada aktualizację, która usuwa wiele błędów w zabezpieczeniach Exchange. Niestety firma nie uruchomiła jeszcze tej aktualizacji.
Nasze poprawki pojawiają się co miesiąc i jeszcze nie dotarliśmy do kolejnego miesięcznego cyklu – powiedział.
Anderson powiedział, że istnieją dowody na to, że napastnicy uzyskali dostęp przed wydaniem łatki, co sugeruje, że aktualizacja i tak mogła nie zapobiec włamaniu.
Dlaczego firma przewozowa Bay & Bay odmówiła zapłaty?
W przeciwieństwie do swojej odpowiedzi na atak w 2018 roku firma przewozowa Bay & Bay tym razem odmówiła zapłaty. Anderson powiedział, że firma była w lepszej sytuacji, aby samodzielnie odzyskać dane, zamiast płacić przestępcom za klucz do odszyfrowania danych. Anderson bardzo otwarcie opowiadał o doświadczeniach Bay & Bay związanych z poprzednim atakiem ransomware, który miał miejsce zaledwie kilka dni po objęciu przez niego stanowiska dyrektora ds. technologii.
Byliśmy pokonani, a oni nas mieli – napisał Anderson w 3PL Perspectives w 2019 roku.
Incydent ten, jak napisał, doprowadził do znaczących zmian w podejściu firmy do cyberbezpieczeństwa.
Chociaż Bay & Bay wydaje się tym razem radzić sobie lepiej, incydent nadal był znaczący. Jeden z dyrektorów ds. technologii transportu towarowego powiedział FreightWaves, że chociaż przewoźnik wydaje się stosunkowo szybko odzyskać sprawność, jego decyzja o nieuruchomieniu poprawki Microsoft Exchange była niepokojąca.
Firma przewozowa Bay & Bay zaangażowała zewnętrznych ekspertów ds. cyberbezpieczeństwa wkrótce po ataku i powiadomiła organy ścigania. Trwa dochodzenie kryminalistyczne w celu ustalenia, w jaki sposób doszło do ataku i jaki jest zakres naruszenia danych. Conti ujawniło niewielką ilość danych, które, jak twierdzą hakerzy, zostały skradzione przewoźnikowi, w tym coś, co wydaje się być poufnymi informacjami o pracownikach. Grupa zagroziła, że ujawni więcej danych.
Chociaż firma nie komentowałaby, jakie dane mogły zostać naruszone, Sam Anderson, dyrektor generalny i prezes Bay & Bay, powiedział, że firma podejmie kroki w celu ochrony każdego, kto został naruszony.
Najbardziej martwimy się o pracowników firmy. Jeśli którykolwiek z ich danych osobowych zostały ujawnione, chcemy spróbować dowiedzieć się, czyje to informacje, ile, a następnie podjąć niezbędne środki ostrożności, aby zapobiec temu, aby coś się stało tym osobom – powiedział Sam Anderson [nie jest spokrewniony z Wade’em Andersonem – przyp. red.], dyrektor generalny i prezes Bay & Bay.
Czytaj też: Hakerskie ataki na szkolne serwery
Znajdziesz nas w Google News
