5,9 miljoonan dollarin Ransomware-hyökkäys uuteen osuuskuntaan voi vaikuttaa elintarvikeketjuun
Iowassa toimiva viljayhtiö NEW Cooperative Inc. on joutunut lunnasohjelmahyökkäyksen kohteeksi, mikä pakotti yrityksen sulkemaan järjestelmänsä hyökkäyksen torjumiseksi. Hyökkäyksen takana oleva BlackMatter-ryhmä on vaatinut 5,9 miljoonan dollarin lunnaita yleisölle, koska se voi vaikuttaa toimitusketjuun Yhdysvalloissa ja aiheuttaa mahdollisen ruokapulan.
NEW Cooperative on vahvistanut joutuneensa osumaan ja kertonut olevansa yhteydessä lainvalvontaviranomaisiin tilanteen korjaamiseksi mahdollisimman pian ennen kuin se vaikuttaa toimitusketjuun.
BlackMatter Ransomware -hyökkäyksen tiedot
Ransomware-ryhmä BlackMatter vaatii 5,9 miljoonaa dollaria NEW Cooperativelta uhka-analyytikkojen verkossa jakaman kuvakaappauksen mukaan. Uuden osuuskunnan edustajan yksityisessä neuvotteluchatissa BlackMatterin kanssa jengi sanoo, että he eivät osuneet kriittiseen infrastruktuuriin. UUDEN osuuskunnan edustaja sanoi edelleen:
"Verkkosivustosi sanoo, että et hyökkää kriittistä infrastruktuuria vastaan. Olemme kriittinen infrastruktuuri… me kietouduimme elintarvikeketjuun Yhdysvalloissa. Jos emme pysty toipumaan hyvin pian, viljan, sian ja kanan toimitusketjussa on hyvin julkisia häiriöitä. Noin 40 % viljatuotannosta tapahtuu ohjelmistollamme… tämä katkaisee toimitusketjun hyvin pian…"
Edustaja sanoi lisäksi, että jos he eivät ratkaise tätä pian ja se häiritsee toimitusketjua, CISA:n on puututtava, jos NEW Cooperativen järjestelmät eivät tule verkkoon.
BlackMatter vastasi, että maatalousyritykset eivät kuulu "kriittisen infrastruktuurin" luokkaan. Ars Technica huomasi BlackMatterin Tor-vuotosivustolla, että ryhmä ei hyökkää sairaaloihin, öljy-, kaasuteollisuuteen, puolustusteollisuuteen, voittoa tavoittelemattomiin järjestöihin, valtion sektoreihin ja "kriittisiin infrastruktuurikohteisiin". Näitä toimialoja ovat ydinvoimalaitokset, vedenkäsittelylaitokset ja voimalaitokset.
BlackMatter ransomware -jengi väittää, ettei se hyökkää kriittiseen infrastruktuuriin (Ars Technica)
"En [en] uhkaa sinua. Tämä on jokseenkin poissa käsistämme. Emme voi valvoa sitä, mitä sääntelijät ja Yhdysvaltain hallitus tekevät. Tämän hyökkäyksen vaikutus on todennäköisesti paljon pahempi kuin putkihyökkäyksen kontekstin kannalta, emmekä voi hallita sitä, kun otetaan huomioon häiriö, jonka tämä on jo aiheuttanut", NEW Cooperative. Inc:n edustaja kertoi ransomware-jengille.
Ars Technica havaitsi myös, että yhtiön SOILMAP-projekti ei ole myöskään käytettävissä hyökkäyksen jälkeen. SOILMAP on ohjelmistoratkaisu, joka tarjoaa erilaisia ominaisuuksia, kuten maaperän testauksen, kartoituksen ja toimittajakirjanpidon prosessin virtaviivaistamiseksi.
Uhkatoimijat ovat myös väittäneet varastaneensa SOILMAP-projektin lähdekoodin, työntekijöiden tiedot, talousasiakirjat ja T&K-tulokset.
NEW Cooperativen (Bleepingcomputers) SOILMAP-projektin ei-julkinen tietovuotosivu
BlackMatter Ransomware Gang
BlackMatter ilmestyi heti Darksiden jälkeen, ja REvil lunnasohjelmajengit katosivat heinäkuussa Kaseyaan ja Colonial Pipelineen tehtyjen kyberhyökkäysten jälkeen. Jake Williams, yksi BreachQuestin perustajista, sanoo:
"BlackMatter näyttää olevan REvil-ryhmän spinoff, ja se on aktiivisesti rekrytoinut uhriverkostoihin pääsyä varten viime kuukausina. Vaikka ryhmä sanoo, että se ei kohdista "kriittisiin infrastruktuuritiloihin", ryhmän blogissaan käyttämä määritelmä eroaa Yhdysvaltain hallituksen kriittisen infrastruktuurin määritelmästä, joka sisältää NEW Cooperativen.
Mielenkiintoista on, että tämä hyökkäys NEW Cooperativea vastaan tuli presidentti Bidenin tapaamisen jälkeen teknologiajättiläisten toimitusjohtajien kanssa ja hänen julkisen lausunnonsa Venäjällä toimivista kyberrikollisista, jotka vahingoittavat Yhdysvaltain infrastruktuuria. Jos se todella on vastaus presidentti Bidenin varoitukseen, tämä voi olla vasta alkua tuleville hyökkäyksille.
Tämä oli tämän jengin toinen hyökkäys syyskuussa, kun BlackMatter hyökkäsi japanilaiseen teknologiajättiläiseen Olympukseen 8. syyskuuta. Emisoft tallensi myös yli 40 lunnasohjelmahyökkäystä, jotka liittyvät tähän uhkatekijään.
Ransomware-hyökkäykset ovat jatkuvasti lisääntyneet, ja yhdysvaltalaiset organisaatiot ovat rikollisten ensisijainen kohde. Kuluneen kuukauden aikana T-Mobile ja AT&T kohtasivat myös kiristysohjelmahyökkäyksiä. Tämä hyökkäys NEW Cooperativea vastaan on hyvin samanlainen kuin REvilin lunnasohjelmahyökkäys JBS :ää, maailman suurinta lihanjalostajaa vastaan, pakottamalla yrityksen maksamaan 11 miljoonan dollarin lunnaat.
Hank Schless, Kaliforniassa sijaitsevan päätepisteestä pilveen -suojauksen Lookoutin vanhempi johtaja, sanoo:
"Tämän pitäisi toimia herätyksenä jokaiselle organisaatiolle, jonka heidän on ryhdyttävä toimiin suojellakseen itseään. Presidentin lausunnot tämäntyyppisistä hyökkäyksistä ovat tehneet fantastista työtä kyberturvallisuuden tärkeyden välittämisessä, mutta organisaatioiden tehtävänä on toteuttaa nämä sanat teoiksi ja tukea puolustustaan.