Обновена на 02.08.2024 от Questo
Неизвестни лица, свързани с рансъмуер групата LockBit 3, са проникнали в информационните системи на българската спедиторска компания Unimasters.
Questona съобщи за инцидента още през лятото на 2022 г. Тогава LockBit 3 твърдеше на сайта си, че е прникнала в сървърите на Unimasters.
Българската компания е постъпила отговорно и е съобщила за пробива в Комисията за защита на личните данни, а регулаторът от своя страна потвърждава случая в годишния си доклад.
Как се е стигнало до пробива
Според КЗЛД причината за пробива е съвсем банална: отгатната парола на служител, който има достъп до информационната инфраструктура на Unimasters. В резултат на пробива злонамерените лица получават достъп до домейн контролера и от там до файлов сървър. По този начин злонамерените лица са получили неоторизиран достъп до 122 хил. файла и лични данни на почти 1700 физически лица.
„От извършения задълбочен анализ на инцидента е установено, че инфраструктурата на проверяваното дружество е била подложена на „човешки“ ръководена, активна хакерска дейност, с целенасочени опити за нерегламентирано копиране на данни. Достъпът до данните на файловия сървър е бил през домейн контролера, който е бил превзет пръв. След осъществяване на достъп до домейн контролера оттам е стартирано криптиране върху файловия сървър заедно с нерегламентираното копиране на файлове. Достъпът до домейн контролера е чрез директен експлойт на RDS Web Gateway или отгатната парола на служител на дружеството“, се казва в доклада.
Unimasters е група български компания с офиси в чужбина, чиято основна дейност е спедиция. Най-голямата от тях като приходи – поне според данните в Търговския регистър. – е „Юнимастърс лоджистикс Ес Си Ес“, която през 2022 г. е декларирала оборот от над 100 млн. лв.
Според съобщение, публикувано на сайта на LockBit (към днешна дата съобщението е премахнато – бел. авт.), пробивът е станал през август 2022 г. Като доказателство за атаката от LockBit бяха публикувани данни, за които се твърдеше, че са източени от сървъри на Unimasters.
Данните включваха копия от трудови договори и договори за повишаване на квалификацията, както и копия на документи за самоличност.
И други български компании са предполагаеми жертви на рансъмуер
Рансъмуер групите действат на принципа на изнудването. След като получат неоторизиран достъп до информационни системи, те копират данните там и ги криптират.
Засегнатите организации трябва да платят откуп, за да си върнат достъпа до данните, както и за да предотвратят публикуването им в интернет.
Unimasters не е единствената българска институция, над която LockBit си приписва успешна атака.
Според сайта на групата тяхна жертва е станала също политическа партия ГЕРБ (доказателство за това твърдения така и не се появиха). LockBit си приписва авторство и на теч на данни от инвестиционния посредник MK Brokers.
Прочетете повече за тези случаи.
Рансъмуер групата Hunters International също твърди, че е ударила българска компания. Става дума за разградската фирма „Стинг“, която е един от най-големите търговци на лекарства в България.
Като доказателство за твърденията си Hunters International публикува около 1 терабайт данни, за които се твърди, че са източени от информаицонните системи на висши служители на „Стинг“: като например изпълнителния директор и главния счетоводител.
От „Стинг“ не са коментирали официално твърденията на Hunters International.
Вижте какво откри Questona за казуса „Стинг“.