Поделиться
Таинственный троян-шифровальщик вывел из строя на шесть недель подрядчика Пентагона и энергетической отрасли США
Неизвестный шифровальщик на рекордно длительный срок вывел из строя ИТ-системы компании ENGlobal. Ответственность за содеянное никто на себя не взял.
Кто это сделал?
Один из крупных производителей систем автоматического контроля для энергообъектов, компания ENGlobal, в течение шести недель не могла восстановить контроль над своими системами вследствие кибератаки. Об этом компания сообщила в декларации, поданной в Комиссию по биржам и ценным бумагам США (SEC).
В декларации упоминается, что атака началась 25 ноября 2024 г. В результате нее целый ряд бизнес-приложений компании, в том числе связанных с финансовой и операционной отчетностью, оказались недоступными на полтора месяца. Компания ограничила доступ работникам к своим ИТ-системам до абсолютного минимума.
В декларации для SEC ENGlobal указывает также, что злоумышленники получили доступ к «некоторой части» ИТ-систем, хранивших значимую персональную информацию. В компании пообещали уведомить всех, кого эта утечка затронула. Какого именно рода персональная информация была затронута, в компании не уточнили.
ENGlobal Corporation является поставщиком автоматизированных систем не только для коммерческого сектора, но и для федеральных учреждений США и оборонной промышленности.
Ни одна группировка пока не взяла на себя ответственность за эту атаку.
Молчание золото
«Шесть недель – это очень продолжительный срок для восстановления, – отмечает Андрей Зайцев, эксперт по информационной безопасности компании SEQ. – Как правило, подготовленные организации, у которых налажено резервное копирование данных, восстанавливаются намного быстрее. Нельзя исключать, что сама атака шифровальщиком была лишь дымовой завесой, а на практике те, кто стоял за этой атакой, были заинтересованы в том, чтобы парализовать деятельность этой структуры на как можно больший срок».
Многие обстоятельства инцидента остаются неизвестными. В компании не раскрывают, какой именно шифровальщик использовали злоумышленники, кто осуществляет расследование инцидента и есть ли уже подозреваемые. В отчете для SEC сказано лишь, что доступ злоумышленникам был успешно перекрыт.
В любом случае речь шла об атаке на организацию, напрямую связанную с критической инфраструктурой США. Подобные инциденты расследуются в приоритетном порядке. Что же касается молчания операторов атаки, то оно может быть связано с быстрой и очень жесткой реакцией на хакерскую атаку против компании Colonial Pipeline весной 2021 г. Ответственность тогда на себя взяла группировка DarkSide. А уже неделей позже члены группировки заявили, что сворачивают деятельность из-за «давления» со стороны США, в результате которого группировка лишилась своего «платежного» сайта и значительной части средств. Позднее власти США заявляли, что смогли вернуть большую часть выкупа, выплаченного DarkSide со стороны Colonial.
Поделиться
Короткая ссылка
