Специалисты по исследованию киберугроз считают, что компания Snap-on вынуждена была заплатить выкуп хакерской группировке Conti, программы-вымогатели которой атаковали серверы компании.
Американский производитель автомобильных инструментов Snap-on объявил об утечке данных. В Интернет попали данные сотрудников компании и франчайзи.
Snap-on - ведущий производитель и разработчик инструментов, программного обеспечения и диагностических услуг, используемых в транспортной отрасли под различными брендами, включая Mitchell1, Norbar, Blue-Point, Blackhawk и Williams.
Что случилось?
День назад компания Snap-on сообщила об утечке данных после обнаружения подозрительной активности в своей сети, что привело к отключению всех ее систем.
"В начале марта компания обнаружила необычную активность в некоторых областях своей информационно-технологической среды. Мы быстро отключили наши сетевые соединения в рамках наших защитных протоколов, что было особенно уместно, учитывая повышенные предупреждения от различных агентств", - говорится в уведомлении на сайте Snap-on.
"Мы начали всесторонний анализ при содействии ведущей внешней экспертной компании, определили это событие как инцидент безопасности и уведомили правоохранительные органы о вторжении".
Проведя расследование, компания Snap-on обнаружила, злоумышленники похитили личные данные сотрудников в период с 1 по 3 марта 2022 года.
"Мы полагаем, что инцидент затронул данные сотрудников и франчайзи, включая такую информацию, как: имена, номера социального страхования, даты рождения и идентификационные номера сотрудников", - говорится в уведомлении о нарушении данных Snap-on, поданном в офис генерального прокурора Калифорнии.
Snap-on уже предложила компенсировать причиненный ущерб пострадавшим, пообещав предоставить бесплатную годовую подписку на услугу защиты от кражи личных данных от компании IDX.
Снова Conti?
Хотя уведомление Snap-on об утечке данных не пролило много света на атаку, специалисты по кибербезопасности в начале марта выяснили, что серверы одной из дочерних компаний Snap-on, Mitchell1, были атакованы программой-вымогателем.
Компания Mitchell1 сначала сообщила об этом инциденте в соц.сетях, но вскоре удалила свои сообщения.
Однако другой источник сообщил, что атаке подверглась не Mitchell1, а их материнская компания Snap-on.
Вскоре после инцидента специалист по кибербезопасности Идо Коэн предположил, что атаку на серверы компании Snap-on организовала и провела банда Conti , которая выложила в Сеть почти 1 Гб внутренних документов компании .
Однако через некоторое время данные компании Snap-on исчезли из свободного доступа, а Conti прекратила их дальнейшую публикацию Исследователи киберугроз считают, что Snap-on заплатила вымогателям Conti выкуп. Snap-on пока не подтвердила, но и не опровергла эти предположения.
Кто такой Conti Ransomware?
Conti ransomware - это программа-вымогатель, управляемая группой хакеров с таким же названием - Conti. Впрочем, специалисты считают, что эта группа имеет еще несколько "псевдонимов", например Ryuk, TrickBot и BazarLoader.
Conti ransomware обычно проникает в сеть после того, как корпоративные устройства заражаются вредоносным ПО BazarLoader или TrickBot, которые предоставляют удаленный доступ злоумышленникам.
Получив доступ к внутренней системе, Conti ransomware распространяется по сети и крадет данные. После чего внутренние файлы шифруются и жертва получает сообщение с требованием выкупа.
Не так давно злоумышленники Conti сами пострадали от утечки данных. С началом спец.операции на Украине злоумышленники открыто заявили о своей поддержке в этой кампании России.
После чего один из участников банды, украинского происхождения, опубликовал в Сети более 170 000 файлов (личную переписку и другие документы банды, включая исходный код программы-вымогателя).
Conti известна своими атаками на такие известные организации, как Ирландское управление здравоохранения (HSE) и Министерство здравоохранения (DoH), город Талса, государственные школы округа Бровард и компания Advantech.
Исследователи в области киберугроз считают банду Conti одной из самых опасных на рынке ransomware. Хакеры этой группировки занимаются разработкой "продвинутого" ПО для шифрование данных своих жертв, а утечка в сеть исходного кода их программы-вымогателя может стать серьезной угрозой компаниям во всех сегментах Сети.