Хакеры вынудили заплатить выкуп авторов ТВ-шоу «Голос» и «Большой брат»
Операторы шифровальщика DoppelPaymer нанесли недружественный визит компании EndemolShine, а также вынудили власти округа Делавэр в Пенсильвании выплатить им крупный выкуп.
Разборчивость в целях
Операторы шифровальщика DoppelPaymer атаковали одну из крупнейших продюсерских студий мира и добились выплаты крупного выкупа от властей округа в штате США Пенсильвания.
Очередной жертвой вымогателей стала голландская продюсерская и дистрибьюторская компания EndemolShine, причастная к созданию и распространению таких телешоу как «Большой брат», «Голос» (в Голландии), а также «Черное зеркало», «Грантчестер» и многих других.
С марта 2019 г. по июль 2020 г. компания находилась под совместным контролем TheWaltDisneyCompany и ApolloGlobalManagement, после чего была продана французской корпорации Banjay, также занимающейся производством и дистрибуцией телевизионного контента.
В Banjay подтвердили факт атаки на голландские и британские подразделения Endemol, а издание BleeplingComputer выяснило, что за атакой стояла группировка DoppelPaymer.
Злоумышленники скомпрометировали персональные данные текущих и бывших сотрудников Endemol, а также некоторые данные, составляющие коммерческую тайну.
Некоторые из украденных документов уже слиты. Злоумышленники шантажируют Banjay публикацией сведений, указывающих на то, что деятельность компании не полностью отвечает требованиям Общего регламента о защите данных (GDRP). Это может иметь крупные юридические последствия для фирмы.
Размеры выкупа, которые требуют участники DoppelPaymer, на данный момент неизвестны, однако с прежних своих жертв — крупных корпораций — злоумышленники требовали семизначные суммы.
В двойном размере
Также стало известно, что власти округа Делавэр в штате Пенсильвания выплатили около $500 тыс. выкупа бандитам из DoppelPaymer, после того как те зашифровали значительную часть сетей окружной администрации. Выкрали ли они какие-то данные, неизвестно, но вероятность этого весьма высока.
По данным BleepingComputer, администраторы сетей округа Делавэр перенастроили домены так, чтобы обеспечить защиту от программы Mimikatz — приложения с открытыми исходниками, которое используется для сбора доменых реквизитов в скомпрометированных сетях. Именно ее используют операторы и DoppelPaymer, и ряда других шифровальщиков с целью получения реквизитов доменного администратора для последующего распространения шифровальщика.
Шифровальщик DoppelPaymer активен с середины 2019 г. Группировка, стоящая за ним, специализируется на атаках на крупные корпорации и госорганы, и, как уже сказано, в большинстве случаев не только шифрует, но и крадет данные из сетей жертв, впоследствии требуя отдельный выкуп за украденное.
«Решение защититься от Mimikatz — очень уместно, жаль, что оно было принято уже после атаки, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SECConsultServices. — Другое дело, что перед применением Mimikatz сеть уже была скомпрометирована тем или иным образом. Хотя это лишь предположение, речь и в случае с Endemol, и в случае с округом Делавэр могла идти о фишинговой атаке на кого-то из сотрудников пострадавших структур. Это превращает обе кибератаки шифровальщиком в симптом более обширной проблемы — неподготовленности персонала.