Xerox padł ofiara ransomware. Zdarza się największym

Firma Xerox padła ofiarą ataku ransomware. To dowód na to, że malware zagraża każdemu. Wypadek może zdarzyć się nawet w jednej z najstarszych i największych firm IT na świecie. Xerox na razie oficjalnie nie potwierdził zdarzenia.

Anna Rymsza (Xyrcon)
0
Udostępnij na fb
Udostępnij na X
Xerox padł ofiara ransomware. Zdarza się największym

Gigant branży druku padł ofiarą ransomware o nazwie Maze. O skutecznym ataku poinformowali 24 czerwca sami cyberprzestępcy. Jednocześnie zagrozili ujawnieniem 100 GB danych, należących do firmy Xerox, jeśli nie dostaną okupu.

Dalsza część tekstu pod wideo

Operatorzy ransomware Maze uzupełnili listę ofiar na swojej stronie w sieci TOR o firmę Xerox. Przestępcy nie zdradzili szczegółów ataku, nie wiemy więc, czy udało im się dostać do zasobów Xeroxa atakiem socjotechnicznym, za pomocą phishingu czy jeszcze inną drogą. W przeszłości grupa Maze już kilkukrotnie zrealizowała podobne groźby, udostępniając dane należące m.in. do firmy Southwire, miasta Pensacola na Florydzie i Banku Kostaryki. W ostatnim tygodniu czerwca chwalili się też włamaniem do LG Electronics, na razie niepotwierdzonym.

Cyberprzestępcy opublikowali zestaw zrzutów ekranu na dowód tego, że udało im się zdobyć dostęp do systemów Xeroxa. Na tej podstawie można wnioskować, że niektóre z przejętych serwerów powiązane są z domeną eu.xerox.net. Analitycy z Cyble Research Team potwierdzili autentyczność zrzutów ekranu.

Kamil Sadkowski, starszy analityk zagrożeń w ESET, zwrócił uwagę na to, co jest prawdziwym zagrożeniem w przypadku takich ataków. Gdy ofiarą jest Xerox lub inna międzynarodowa firma, prawdziwym zagrożeniem jest nie tyle zaszyfrowanie danych, ile ryzyko ich ujawnienia. Przestępcy po opisywaną technikę sięgają coraz częściej. Poza Maze stosuje ją m.in. grupa Sodinokibi, która groziła na początku roku ujawnieniem danych należących do Gedia Automotive Group.

Sadkowski zaznaczył, że w przypadku zaszyfrowania danych mamy wybór. Możemy zapłacić przestępcom (czego jednak w żadnym wypadku nie powinniśmy robić) albo przywrócić dane z kopii bezpieczeństwa (które powinniśmy robić jak najczęściej). Jeśli jednak przestępcy przechwycą poufne informacje i zagrożą ich opublikowaniem, jest już zazwyczaj za późno na racjonalną reakcję.

W ocenie eksperta nowe metody stosowane przez operatorów ransomware sprawiają, że jeszcze bardziej niż dotychczas na znaczeniu zyskuje zapobieganie atakom. Specjaliści ESET zalecają, by nie ograniczać się w związku z tym wyłącznie do podstawowego oprogramowania antywirusowego, ale pomyśleć także o wyposażeniu firmy np. w rozwiązanie klasy EDR, takie jak ESET Threat Intelligence, które pomoże wykryć atak na jego najwcześniejszym etapie i w porę zareagować na incydent.