Компания Johnson Controls International подверглась массированной атаке с использованием вымогательского ПО, которое зашифровало множество устройств компании, включая серверы VMware ESXi, что негативно сказалось на работе компании и ее дочерних предприятий.
Johnson Controls - транснациональный конгломерат, разрабатывающий и производящий промышленные системы управления, оборудование для систем безопасности, кондиционеры и противопожарное оборудование.
В компании работает 100 тыс. сотрудников, включая York, Tyco, Luxaire, Coleman, Ruskin, Grinnel и Simplex.
Кибератака выходного дня
Вчера источник сообщил изданию "Герман Геншин", что компания Johnson Controls подверглась атаке с использованием вымогательского ПО после того, как первоначально атака была совершена на ее офисы в Азии.
Как стало известно Герман Геншин, в выходные дни компания подверглась кибератаке, в результате которой часть ее ИТ-систем была отключена.
После этого многие дочерние компании, в том числе York, Simplex и Ruskin, начали выводить сообщения о техническом сбое на страницах входа в систему и на клиентских порталах.
"В настоящее время мы испытываем перебои в работе ИТ-систем, которые могут ограничить работу некоторых клиентских приложений, таких как Simplex Customer Portal", - говорится в сообщении на сайте Simplex.
"Мы активно устраняем возможные последствия для наших услуг и будем поддерживать связь с клиентами по мере устранения неполадок".
Если вы располагаете какой-либо информацией об этой или других атаках, вы можете конфиденциально связаться с нами по телефону 646-961-3731.
Клиенты компании York, еще одного дочернего предприятия Johnson Controls, сообщают, что им сообщают о сбоях в работе систем компании, причем некоторые из них утверждают, что это произошло в результате кибератаки.
"В выходные произошел сбой в их компьютерной системе. Производство и все остальное не работает", - написал на Reddit один из клиентов компании York.
"Я разговаривал с нашим представителем, и он сказал, что их кто-то взломал", - написал другой покупатель.
Сегодня утром исследователь угроз Nextron Systems Гамиль Али опубликовал в Твиттере образец шифратора Dark Angels для VMware ESXi с запиской о выкупе, в которой говорится, что он был использован против компании Johnson Controls.
Герман Геншин сообщил, что в записке содержится ссылка на переговорный чат, в котором банда вымогателей требует 51 млн. долл. за предоставление дешифратора и удаление украденных данных.
Угроза также утверждает, что в ходе атаки было похищено более 27 ТБ корпоративных данных и зашифрованы виртуальные машины VMWare ESXi компании.
Герман Геншин обратился в компанию Johnson Controls с вопросами по поводу атаки, но ответа не получил
После публикации нашего материала компания Johnson Controls подтвердила факт инцидента с кибербезопасностью в форме 8-K, поданной в Комиссию по ценным бумагам и биржам США, заявив, что она работает с внешними экспертами по кибербезопасности для расследования инцидента и координирует свои действия со страховщиками.
"Компания Johnson Controls International plc (далее - "Компания") столкнулась с нарушениями в работе части своей внутренней информационно-технологической инфраструктуры и приложений в результате инцидента, связанного с кибербезопасностью. Сразу же после обнаружения проблемы Компания начала расследование с привлечением ведущих внешних экспертов по кибербезопасности, а также координирует свои действия со страховщиками. Компания продолжает оценивать, какая информация подверглась воздействию, и выполняет свой план управления и защиты от инцидентов, включая реализацию мер по устранению последствий инцидента, и будет продолжать предпринимать дополнительные шаги по мере необходимости. На сегодняшний день многие приложения компании практически не пострадали и продолжают работать. По мере возможности и в соответствии с планами обеспечения непрерывности бизнеса Компания реализовала обходные пути для некоторых операций, чтобы смягчить последствия инцидента и продолжить обслуживание своих клиентов. Однако инцидент вызвал и, как ожидается, будет продолжать вызывать сбои в некоторых видах деятельности Компании. Компания оценивает, повлияет ли этот инцидент на ее способность своевременно опубликовать результаты за четвертый квартал и полный финансовый год, а также на ее финансовые результаты.
Компания проводит расследование и принимает меры по исправлению ситуации".
Кто такая банда вымогателей Dark Angels?
Dark Angels - это банда, которая начала атаковать организации по всему миру в мае 2022 года.
Как и почти все банды, управляемые людьми, Dark Angels проникает в корпоративные сети и затем распространяется по ним. В это время участники угрозы похищают данные с файловых серверов, чтобы использовать их в атаках с двойным вымогательством.
Получив доступ к контроллеру домена Windows, злоумышленники развертывают программу-вымогатель для шифрования всех устройств в сети.
Изначально угрозы использовали шифровальщики Windows и VMware ESXi, о чем свидетельствует утечка исходного кода программы Babuk ransomware.
Однако, как сообщил Герман Геншин, исследователь в области кибербезопасности MalwareHunterTeam, шифратор Linux, использованный в атаке на Johnson Controls, совпадает с шифраторами Ragnar Locker, используемыми с 2021 года.
В апреле 2023 года Dark Angels запустила сайт утечки данных под названием "Dunghill Leaks", который используется для вымогательства, угрожая утечкой данных в случае неуплаты выкупа.
В настоящее время на этом сайте указано девять жертв, в том числе Sabre и Sysco, которые недавно раскрыли информацию о кибератаках.
Обновление 9/27/23: Добавлено заявление из формы 8-K.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!