Technológia

Az Exagrid 2,6 millió dollárt fizet a Conti ransomware támadóknak

Az ExaGrid tartalékkészülék-szállító 2,6 millió dollár váltságdíjat fizetett a számítógépes bűnözőknek, akik a Conti céget vették célba ransomware.

A váltságdíjat 50,75 bitcoin formájában fizették ki május 13-án, a ComputerWeekly.com francia testvérpublikációjának információi szerint LeMagIT.

A ransomware támadó követeléseihez való csatlakozás kínosabbá vált, amikor a tartalékkészülék-szállító – amely nagy szerepet játszik az erősségeiben a ransomware ellen – véletlenül törölte a visszafejtő eszközt, és újra meg kellett kérnie.

Ugyanabban a hónapban jelentkeztek a ransomware támadással, amikor az amerikai Colonial Pipeline csővezeték-üzemeltető 4,5 millió dollárt fizetett, miután a Darkside ransomware elütötte, és az ír egészségügyi szolgálatot célozták meg, Conti ransomware is.

A tárgyalások, amelyekhez a LeMagIT hozzáférhetett, május 4-én kezdődtek az „Informatikai vezető technikus az ExaGrid Systems-ben” címmel rendelkező személlyel.

A számítógépes bűnözők egyenesen a lényegre térnek, és azt mondják: „Mint már tudod, behatoltunk a hálózatodba, és több mint egy hónapig ott maradtunk (elég az összes dokumentáció áttanulmányozásához), titkosítottuk a fájlszervereidet, az SQL szervereidet, letöltöttük minden fontos információ, amelynek össztömege meghaladja a 800 GB-ot. ”

Majd leírták, hogyan jutottak birtokukba az ügyfelek és alkalmazottak személyes adatai, a kereskedelmi szerződések, az NFÜ űrlapok, a pénzügyi adatok, az adóbevallások és a forráskód. A kezdeti követelt váltságdíj 7 480 000 dollár volt.

Az ExaGrid egy mintán akarta kipróbálni a visszafejtést, és egy ExaGridEX63000E NAS doboz elülső részének fényképét mellékelték. A tárgyalások folytatódtak és május 13-ig tartottak. Ebben az időszakban a támadók fájlokat osztottak meg az ExaGriddal a Sendspace-en keresztül, hogy megmutassák, mihez tudtak hozzáférni. Néhány ilyen módon megosztott archívumot a tárgyalások befejezése után egy ideig nem töröltek, és továbbra is letölthetők.

A számítógépes bűnöző tárgyalója sokkal tapasztaltabbnak tűnt, mint mások. Az ExaGrid első, több mint egymillió dolláros ajánlata után így válaszolt: „Köszönöm az erőfeszítéseket. Ez egy korrekt és ésszerű kezdeti ajánlat. Most lehetőségünk van tárgyalni. Készek vagyunk felajánlani Önnek 1 millió dollár kedvezményt. A díja most 6 480 000 USD lesz. ”

A többi számítógépes bűnöző bűnös megközelítésével szemben a tárgyaló hozzátette: „Megértjük, hogy itteni munkája nem könnyű, és némi erőfeszítést igényel a testület tagjainak meggyőzéséhez. De még mindig messze vagyunk a megállapodástól.

Egy héttel később az ExaGrid tárgyaló 2,2 millió dollárra emelte ajánlatát. A számítógépes bűnözők ezután 3 millió dollárra csökkentették keresletüket. Ekkor a cserék fokozódtak, amikor a két fél igyekezett gyorsan megegyezni. Ez hamarosan 2,6 millió dolláros megállapodással jött létre, és a bitcoin címe jelezte, hogy a megbeszélt összeget kifizették. A visszafejtő eszközt a Mega.nz egyik fiókján keresztül bocsátották rendelkezésre, ahol az ellopott adatokat tárolták. Az adatokat és a számlákat azonnal törölték.

De aztán két nappal később az ExaGrid tárgyaló a dekódoló eszköz újbóli elküldését kérte, mert „véletlenül töröltük”. A számítógépes bűnözők másnap letölthetővé tették.

A támadás különösen kínos az Exagrid számára, ami tavaly decemberben jelentette be hét ipari díjat nyert el, valamint egy új megoldást indított a ransomware támadásokat követő helyreállításra.

A ransomware témájú weboldalán az ExaGrid azt mondja: „Az ExaGridoff egyedülálló megközelítést kínál annak biztosítására, hogy a támadók ne sérthessék a biztonsági másolat adatait, lehetővé téve a szervezetek számára, hogy biztosak legyenek abban, hogy helyreállíthatják az érintett elsődleges tárhelyet és elkerülhetik a csúnya váltságdíjak fizetését.”

Az ExaGrid-től észrevételt kértek, de a közzétételkor nem volt elérhető.