Поделиться
Крупный британский телеком-оператор признал утечку клиентских данных
Британский телеком-оператор Colt попытался замести под ковер инцидент, в результате которого у него угнали клиентские данные. Судя по всему, последствия будут болезненными.
Бюллетеня в мешке не утаить
Британский телеком-оператор Colt Technology Services вынужденно признал и факт кибератаки, и кражу документации клиентов. Группировка, стоящая за шифровальщиком Warlock, уже выставила эти данные на торги на киберкриминальной площадке Ramp.
Обращает на себя внимание тот факт, что Colt очень неохотно в принципе выдает какую-либо информацию, и есть основания полагать, что украденные данные хранились с множественными нарушениями принципов защищенности.
12 августа Colt объявил о «технических затруднениях», но лишь спустя девять дней признал, что украдены клиентские данные. К этому моменту Warlock Group уже объявили, что им удалось похитить 1 млн документов из инфраструктуры Colt, которую они выставили на продажу за 200 тыс. долларов. Хакеры утверждают, что в этой документации содержатся данные о зарплатах в компании, финансовые данные, содержание клиентских контрактов, персональные данные и почтовые адреса директората, а также данные о сетевой архитектуре и разработке ПО.
Если эти описание хакеров соответствует действительности, их потенциальным покупателям откроются самые широкие возможности для всевозможных атак на клиентов Colt и саму компанию.
Реагирование компании на инцидент также вызывает вопросы. Как обратил внимание известный эксперт по информационной безопасности Кевин Бомон (Kevin Beaumont), страница с бюллетенем по инциденту была полностью переправлена по сравнению с первыми вариантами, а главное, ей был присвоен HTML-тэг no-Index, чтобы воспрепятствовать индексации поисковыми системами.
«Не очень понятно, чего они хотели таким образом добиться, - отмечает Александр Зонов, эксперт по информационной безопасности компании SEQ». «Оба варианта бюллетеня закэшированы и теперь маркер no-Index, да и сама компания становятся объектом насмешек. Если таким образом они хотели минимизировать репутационный ущерб, результат получился прямо противоположный».
Кто такие Warlock Group
Группировка Warlock Group (также известная как Storm-2603) считается китайской; ее участники используют утекший (и переработанный) код шифровальщика LockBit для Windows, а также Babuk - шифровальщик, специально адаптированный под гипервизоры VMware ESXi.
Warlock начала атаки в марте этого года. Изначально они использовали стандартные требования выкупа, написанные создателями LockBit, но позднее начали использовать собственные. Злоумышленники также используют P2P-протокол Tox для переговоров с жертвами о сумме выкупа.
Поделиться
Короткая ссылка
