Iowa-baserade spannmålsföretaget NEW Cooperative Inc. har drabbats av en ransomware-attack, vilket tvingar företaget att stänga av sitt system för att motverka attacken. BlackMatter-gruppen bakom attacken har krävt lösensumman på 5,9 miljoner dollar, angående allmänheten eftersom det kan påverka leveranskedjan i USA, vilket kan orsaka en potentiell livsmedelsbrist.
NEW Cooperative har bekräftat att de blivit påkörda och har sagt att de är i kontakt med polisen för att åtgärda situationen så snart som möjligt innan det påverkar leveranskedjan.
BlackMatter Ransomware Attack Detaljer
Ransomware-gruppen BlackMatter kräver 5,9 miljoner dollar från NEW Cooperative, enligt en skärmdump som delas online av hotanalytiker. I en privat förhandlingschatt av en NY Cooperative-representant med BlackMatter säger gänget att de inte träffade den kritiska infrastrukturen. Den NYA kooperativets representant sa vidare:
"Din webbplats säger att du inte attackerar kritisk infrastruktur. Vi är en kritisk infrastruktur … vi är sammanflätade med livsmedelsförsörjningskedjan i USA. Om vi inte kan återhämta oss inom kort, kommer det att bli väldigt mycket offentliga störningar i leveranskedjan för spannmål, fläsk och kyckling. Cirka 40 % av spannmålsproduktionen körs på vår mjukvara…detta kommer att bryta leveranskedjan mycket snart…."
Representanten sa vidare att om de inte löser detta snart, och det stör leveranskedjan, kommer CISA att behöva träda in om NEW Cooperatives system inte kommer online.
BlackMatter svarade att jordbruksföretag inte faller under kategorin "kritisk infrastruktur". Ars Technica märkte på BlackMatters Tor-läcka-webbplats att gruppen inte attackerar sjukhus, olje-, gasindustri, försvarsindustri, ideella organisationer, statliga sektorer och "kritiska infrastrukturanläggningar." Dessa industrier inkluderar kärnkraftverk, vattenreningsanläggningar och kraftverk.
BlackMatter ransomware-gäng hävdar att de inte attackerar kritisk infrastruktur (Ars Technica)
"Jag [inte] hotar dig. Detta är ganska mycket ur våra händer. Vi kan inte kontrollera vad tillsynsmyndigheterna och USA:s regering [gör]. Effekten av den här attacken kommer sannolikt att vara mycket värre än pipeline-attacken för sammanhanget, och vi har inget sätt att kontrollera det med tanke på den störning som detta redan har orsakat", ett NYTT kooperativ. Inc-representant berättade för ransomware-gänget.
Ars Technica noterade också att företagets SOILMAP-projekt inte heller är tillgängligt sedan attacken. SOILMAP är en mjukvarulösning som erbjuder olika funktioner som jordprovning, kartläggning och leverantörsredovisning för att effektivisera processen.
Hotaktörerna har också hävdat att de stulit källkoden för SOILMAP-projektet, personalinformation, finansiella dokument och FoU-resultat.
Icke-offentlig dataläckagesida för SOILMAP-projektet av NEW Cooperative (Bleepingcomputers)
BlackMatter Ransomware-gäng
BlackMatter dök upp direkt efter Darkside, och REvil ransomware-gäng försvann redan i juli efter cyberattacker på Kaseya och Colonial Pipeline. Jake Williams, medgrundare på BreachQuest, säger:
"BlackMatter verkar vara en spinoff från REvil-gruppen och har aktivt rekryterat för första åtkomst till offernätverk under de senaste månaderna. Även om gruppen säger att den inte kommer att rikta in sig på "kritiska infrastrukturanläggningar", skiljer sig definitionen som gruppen använder i sin blogg från den amerikanska regeringens definition av kritisk infrastruktur, som skulle inkludera NEW Cooperative.
Intressant nog kom denna attack mot NEW Cooperative efter president Bidens möte med teknikjättens VD:ar och hans offentliga uttalande om Rysslandsbaserade cyberbrottslingar som skadar USA:s infrastruktur. Om det verkligen är ett svar på president Bidens varning, kan detta bara vara början på en rad attacker som kommer.
Detta var den andra attacken från detta gäng i september, då BlackMatter attackerade Olympus, en japansk teknikjätte, den 8 september. Emisoft registrerade också över 40 ransomware-attacker kopplade till denna hotaktör.
Ransomware-attacker har ständigt ökat, med amerikanska organisationer ett primärt mål för brottslingar. Under den senaste månaden har T-Mobile och AT&T också utsatts för attacker mot ransomware. Denna attack mot NEW Cooperative är mycket lik REvils ransomware-attack på JBS, världens största köttförädlare, vilket tvingar företaget att betala en lösensumma på 11 miljoner dollar.
Hank Schless, Senior Manager på Lookout, en Kalifornienbaserad endpoint-to-cloud-säkerhet, säger:
"Detta bör fungera som en väckarklocka till varje organisation att de behöver vidta åtgärder för att skydda sig själva. Presidentens uttalanden om dessa typer av attacker har gjort ett fantastiskt jobb med att förmedla vikten av cybersäkerhet, men det är organisationernas uppgift att omsätta dessa ord i handling och stärka sitt försvar.”