Атаковавшие компанию JBS хакеры похитили данные из филиалов в Австралии и Бразилии
9 июня 2021 года
Киберпреступная группировка REvil (Sodinokibi), атаковавшая в мае нынешнего года крупнейшего в мире производителя мясных продуктов питания JBS, на протяжении нескольких месяцев похищала данные филиалов пищевого гиганта в Австралии и Бразилии.
По словам специалистов из компании SecurityScorecard, «разведывательная» фаза кибератаки началась в феврале нынешнего года. Исследование основано на нескольких государственных и частных источниках информации, наблюдениях в даркнете и таких исследовательских инструментах, как NetFlow, который отслеживает потоки цифрового трафика.
Представитель JBS USA оспорил выводы экспертов и заявил, что они не сходятся с результатами предварительного расследования, проведенного сторонними экспертами.
«Мы не обнаружили никаких свидетельств хищения данных компании или того, что филиал в Бразилии пострадал от атаки. Расследование продолжается», — пояснила представитель компании Никки Ричардсон (Nikki Richardson).
По словам исследователей, в марте они начали собирать данные о местоположении компании JBS в Австралии. Специалисты выявили в даркнете учетные данные сотрудников австралийского филиала компании прямо перед началом взлома. В ходе расследования SecurityScorecard обнаружила, что трафик TeamViewer направляется на IP-адрес в Индии. Это может означать, что злоумышленник установил TeamViewer в сетевой среде JBS Australia. Это действие произошло в тот же период времени, что и кража данных. Соединение могло использоваться для поддержания доступа к среде. Поскольку TeamViewer поддерживает передачу файлов, некоторые данные также могли быть похищены таким образом.
SecurityScorecard также нашла свидетельства кражи данных у JBS в Бразилии в апреле и мае нынешнего года, однако неизвестно, как и где хакеры взломали сети пищевой компании в Сан-Паоло.
«Как и в других операциях с программами-вымогателями, злоумышленники, вероятно, заинтересованы в краже данных и их возможной публикации в даркнете, если жертва не заплатят. Обычно хакеры похищают данные перед шифрованием файлов, а затем используют их для вымогательства», — пояснили исследователи.
Используя глобальную аналитическую информацию, в том числе Netflow, специалисты обнаружили несколько операций передачи данных из среды JBS с марта 2021 года. Например, на сайт обмена файлами Mega в период с 1 марта по 30 мая 2021 года передано более 45 ГБ данных. Кроме того, передача данных была разделена на десяток меньших операций в течение трех месяцев. В период с 1 марта по 29 мая 2021 года было передано в Гонконг в общей сложности 5 ТБ данных.
Источники
править| Эта статья содержит материалы из статьи «Атаковавшие компанию JBS хакеры похитили данные из филиалов в Австралии и Бразилии», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
