Рансъмуер бандите демонстрират високо ниво на техническа подготовка
(снимка: CC0 Public Domain)
Зловреден софтуер за криптиране на данни нанесе загуби за десетки милиони долари на енергийния гигант Halliburton. И проблемите на компанията не свършиха само с тази щета.
Корпорацията Halliburton похарчи 35 милиона долара за възстановяване на системите си след атака от групата RansomHub. Рансъмуерът не само криптирал част от системите на компанията, но откраднал все още неизвестно количество данни. Изтичането може да доведе до съдебни дела срещу Halliburton.
Атаката срещу компютърната мрежа е принудила ИТ отдела да изключи ключови системи и да прекрати активните връзки с клиентите. Компанията е основен доставчик на продукти и услуги за енергийната индустрия, включително решения за газови и петролни находища, както и инструменти за проучване и развитие.
На 23 август 2024 г. нападателите са получили неоторизиран достъп до системите на Halliburton, според доклад на компанията, подаден в Комисията по ценните книжа и борсите. В отговор Halliburton е затворила големи части от своята ИТ инфраструктура, което е имало „ограничено” въздействие върху нормалната работа на компанията и е предизвикало прекъсвания в обслужването на клиентите.
Няколко дни по-късно става ясно, че зад атаката стои групата RansomHub. Тя успява да открадне някои данни от мрежите на компанията; в доклада до комисията се посочва, че Halliburton все още не може да определи мащаба на изтичането и естеството на откраднатите данни.
Въпреки че щетите от атаката във финансово отношение са сравнително малки – 35 милиона долара на фона на многомилиарден оборот, въпросът за информацията, открадната от хакерите, остава открит. Ако информацията е поверителна, това може да доведе до сериозни претенции срещу Halliburton от нейните клиенти, да не говорим за увреждане на репутацията. Съдебните разходи могат да причинят много по-големи загуби.
Групата RansomHub е известна с използването на средства за принудително деактивиране на EDR инструменти и антивирусна защита при атаки. В същото време нападателите използват техники като фишинг, експлоатиране на уязвимости и „разпръскване” на пароли. Това показва високото им ниво на техническа подготовка.
Според специалистите, противодействието на подобни групи изисква проактивен подход и възможно най-висока подготовка на персонала, отговорен за мрежовата сигурност.