Группа проукраинских хактивистов взяла на себя ответственность за сентябрьский взлом российской антивирусной компании «Доктор Веб» (Dr.Web).
В прошлом месяце Dr.Web подтвердила, что ее сеть была взломана 14 сентября, в результате чего компания была вынуждена отключить все внутренние серверы и прекратить рассылку обновлений вирусных баз клиентам на время расследования инцидента.
Во вторник проукраинские хактивисты из DumpForums в своем Telegram-посте заявили, что они стоят за взломом и получили доступ к системам разработки Dr.Web.
Утверждается, что они имели доступ к сети Dr.Web в течение примерно одного месяца, что позволило им похитить около десяти терабайт данных, включая клиентские базы данных, с GitLab, электронной почты, Confluence и других взломанных серверов компании.
«Нам удалось взломать и выгрузить корпоративный сервер GitLab, где хранились внутренние разработки и проекты, корпоративный почтовый сервер, Confluence, Redmine, Jenkins, Mantis, RocketChat – системы, где велась разработка и обсуждались задачи»
- говорится в сообщении DumpForums
Команда по исследованию угроз ReliaQuest утверждает, что DumpForums является онлайновым «центром для хактивистов и патриотически настроенных субъектов киберугроз» по крайней мере с конца мая 2022 года.
Их усилия направлены на поддержку «украинских военных усилий против России» посредством DDoS-атак и утечки информации, украденной у российского правительства и частных организаций.
Dr.Web опровергает заявления о краже данных
Компания Dr.Web опубликовала заявление в ответ на свои претензии, в котором вновь подтвердила факт сентябрьского взлома, но заявила, что атака была «оперативно пресечена».
Российская компания, занимающаяся защитой от вредоносного ПО, добавила, что не будет платить выкуп, который с тех пор требовали злоумышленники, и отрицает, что в ходе атаки была похищена информация о клиентах.
«Основной целью было требование выкупа от нашей компании, но мы не ведем переговоров со злоумышленниками. В настоящее время правоохранительные органы проводят расследование, поэтому мы не можем давать подробные комментарии, чтобы не мешать следствию. Информация, опубликованная в Telegram, в основном не соответствует действительности, пользовательские данные не пострадали. Ни обновления вирусных баз, ни обновления программных модулей не представляют угрозы безопасности для наших пользователей»
- говорится в сообщении Dr.Web в Telegram в среду
В июне проукраинские хакеры Cyber Anarchy Squad взломали российскую компанию Avanpost, заявив об утечке 390 ГБ украденных данных и зашифровав более 400 виртуальных машин.
Годом ранее, в июне 2023 года, «Касперский» также сообщил, что злоумышленники заразили iPhone в его сети шпионским ПО с помощью эксплойтов «нулевого клика» в iMessage, которые были нацелены на ошибки нулевого дня в iOS в рамках кампании, известной как «Операция Триангуляция».