Часть серверов компании ADATA подверглась атаке вируса-вымогателя в конце мая. Указывается, что заражённые системы были оперативно изолированы от корпоративной сети. Компания также обратилась в соответствующие правоохранительные органы, чтобы найти злоумышленников.
«ADATA подверглась атаке вируса-вымогателя 23 мая 2021 года», — рассказал представитель компании ADATA в разговоре с порталом BleepingComputer. По его словам, сейчас работа затронутых систем полностью восстановлена и компания вышла на привычный уровень бизнес-операций.
«Мы успешно приостановили работу затронутых систем практически сразу после того, как обнаружили атаку. После этого мы предприняли все необходимые усилия для восстановления работы наших компьютеров, а также обновили системы IT-безопасности. К счастью, всё вернулось в нормальной русло. Бизнес-операции не прерываются поскольку принятые нами меры на случай подобных непредвиденных обстоятельств оказались эффективными», — добавил представитель ADATA.
Представитель компании не предоставил информацию о том, кто стоит за хакерской атакой, а также не сообщил никаких деталей, связанных с требованиями злоумышленников. Однако на минувших выходных ответственность за взлом взяла на себя хакерская группировка, стоящая за разработкой вируса-вымогателя Ragnar Locker. По их словам, перед размещением вредоноса они украли 1,5 Тбайт конфиденциальной информации из внутренней сети ADATA.
В качестве доказательства своих слов хакеры опубликовали скриншоты украденных файлов и папок. Злоумышленники угрожают опубликовать все данные, если ADATA не заплатит выкуп. Однако в самом сообщении хакеров не указывает сумма выплаты. Если верить опубликованным скриншотам, в украденных файлах содержится различная бизнес-информация, конфиденциальные данные, схемы, финансовые отчёты, различные исходники, юридические документы, информация о сотрудниках, соглашения о неразглашении, а также различные рабочие папки.
Вирус-вымогатель Ragnar Locker впервые отметился в атаках в декабре 2019 года. На скомпрометированных компьютерах операторы Ragnar Locker отключают программы дистанционного управления (например, ConnectWise и Kaseya), которые используются для удалённого управления компьютерами внутри корпоративной сети. Это позволяет хакерам избежать обнаружения, а также убедиться в том, что удалённо вошедшие в систему авторизованные администраторы не заблокируют хакерам доступ пока они будут развёртывать вирус-вымогатель.
Федеральное бюро расследований США предупредило о повышении активности атак с использованием вируса-вымогателя Ragnar Locker после случая, произошедшего в апреле 2020 года, когда под ударом оказалась сеть транснационального холдинга Energias de Portugal (EDP), занимающегося генерацией, доставкой и сбытом электроэнергии, а также закупкой, доставкой и сбытом природного газа.
Как пишет BleepingComputer, чаще всего хакеры Ragnar Locker требуют от жертв от 200 до 600 тыс. долларов. Однако в случае с Energias de Portugal они потребовали выплатить им 1580 биткоинов, что на тот момент было эквивалентно более чем $10 млн.