Три атаки шифровальщиков за месяц пережил производитель автозапчастей

Конец апреля и начало мая текущего года выдались сложными у неизвестного производителя автозапчастей. Исследователи компании Sophos, не раскрывая название жертвы, сообщают о трех атаках программ вымогателей от группировок LockBit, Hive и ALPHV (BlackCat). Они последовательно получили доступ к корпоративной системе пострадавшей компании 20 апреля, 1 мая и 15 мая текущего года.

Интересно, что корпоративная сеть производителя автозапчастей была скомпрометирована еще в конце 2021 года. По всей видимости хакер оказался брокером первоначальных доступов. Осуществить взлом ему помогла неправильная конфигурация брандмауэра.

В итоге, анализируя пострадавшие данные компании, исследователи Sophos обнаружили, что некоторые файлы были зашифрованы всеми тремя программами-вымогателями. Там же нашлись и сразу три записки с требованием выкупа.

Некоторые файлы вообще оказались зашифрованы пять раз. Это стало возможным из-за того, что атаки Lockbit и Hive начались почти одновременно — с разницей в два часа. То есть, в системе работали оба шифровальщика и продолжали какое-то время обнаруживать файлы, в которых отсутствовало означающее зашифровку расширение.