Обновена на 26.03.2024 от Questo
Рансъмуер групата Hunters International твърди, че е източила стотици гигабайти информация от компютри на българската компания „Стинг“.
На сайта си хакерите са публикували съобщение за атаката, както и част от данните, които твърдят, че са източили от българската фирма.
От Hunters International твърдят, че са проникнали в компютрите на някои от високопоставените служители във фирмата, a публикуваните досега данни са откраднати от компютъра на главния счетоводител. Хакерите заплашват, че предстои публикуване на данни от компютъра на един от изпълнителните директори.
От компанията не са коментирали твърденията на хакерската група.
Имейли, фирмени документи, отчети
Размерът на публикуваните досега файлове надхвърля 200 гигабайта(но общият им размер според хакерите надхвърля 1 терабайт). Основната част от информацията е под формата на PST файлове. Това е файловият формат, който Outlook използва, за да съхранява имейл съобщения, контакти, събития в календара и т.н.
Публикуваните файлове включват имейл комуникацията на главния счетоводител и на изпълнителния директор на „Стинг“.
Публикувани са и различни фирмени документи като фактури, договори, отчети, списък с телефонните номера на служителите.
Ако датите на документите са автентични, част от данните са съвсем пресни: от началото на 2024 г.
Значимост на атаката
„Стинг“ е един от най-големите търговци на лекарства в България. Общите консолидирани приходи на компанията за 2022 г. достигат 886 млн. лв. според публикуваните в Търговския регистър отчети.
Ако твърденията на Hunters International са истина, това би било една от най-големите рансъмуер атаки срещу българска компания. Хакерите заявяват, че са източили стотици гигабайти информация от фирмата. Като размер на данните това би задминало в пъти теча на данни от инвестиционния посредник „МК Брокерс“, който се приписва на друга рансъмуер група – LockBit.
За „Стинг“ подобна атака би могла да означава финансови и репутационни загуби.
Публикуването на имейл комуникацията на счетоводители или висши мениджъри също е лоша новина. Счетоводителите контактуват с търговските контрагенти на компанията, което означава, че изтеклите данни могат да се използват за извършването на измами със служебен имейл(BEC – business email compromise).
ОСвен това компаниите, преживели теч на данни, могат да попаднат под ударите на евродирективата GDPR, което би могло да ознаачва допълнителни разходи.
Кои са Hunters International
Хакерската група Hunters International се появи на хоризонта през 2023 г. Няколко анализа на използваните от тях тактики подсказват, че групата може да е наследник на Hive: могъщата група за изнудване, която беше разбита през 2023 г. За Hive полицията твърди, че е събрала 100 млн. долара от компаниите, които е изнудвала.
До публикуването на тази статия Hunters International си приписва атаки срещу над 80 организации от цял свят. Сред предполагаемите й жертви има компании осносвно от САЩ, но също Европа, Близкия изток и Азия, Нова Зеландия.
Компютърният рекет: доходоносен и често без последствия
Въпреки че рансъмуерът не попада в топ 10 най-доходоносните компютърни престъпления, печалбите от него са значителни.
Рансъмуер групите проникват в информационните системи на организации от всякакъв калибър, криптират и източват данните им, а след това ги рекетират. Ако засегнатата организация не плати, данните й се публикуват в интернет.
Все по-често се случва рансъмуер групи да изнудват компании без дори да разполагат с каквито й да е откраднати данни. Засегнатите компании предпочитат да си плащат, тъй като дори само фалшивата новина, че са жертва на рансъмуер, може да им струва скъпо.
Американската застрахователна компания State Farm например се оказа въвлечена в дело за милиони заради твърденията на български хакер, че е източил данните на около 400 млн. нейни клиенти.
Повечето рансъмуер групите функционират като мулти левъл маркетинг компании. На върха са организаторите, които предоставят софтуерната платформа, с която се управлява зловредния код.
Под тях са агентите, които се занимават с черната работа: намират слаби места в информационните системи на набелязаните компании, проникват в тях, източват и криптират данни.
Ако рекетът е успешен, организаторите прибират процент от получения подкуп (обикновено 20-30%), а останалото е за агентите.
Тази структура позволява на рансъмуер групата да расте подобно на финансова пирамида и да достигне десетки, дори стотици членове.
Въпреки че полицията редовно съобщава за разбити рансъмуер групи, борбата с този тип компютърни престъпления е трудна. Някои от тях възкръсват веднага след като са били обявени за разбити.
Такъв е случаят с LockBit – мощна рансъмуер група, за която Европол съобщи в началото на 2024 г., че е разбита. Само дни по-късно обаче сайтът на групата заработи отново и в него се появиха нови имена на хакнати компании.
Подобни примери създават усещане за безнаказаност сред членовете на рансъмуер групите. Подведени под отговорност за участието им в такива групи има, но това като че ли няма особен възпитателен ефект сред останалите ентусиасти да заработват допълнително чрез киберрекет.