JAV vyriausybė skubiai praneša apie RansomHub Ransomware grupę po Halliburton kibernetinės atakos

JAV vyriausybė paskelbė pavojaus signalą milžiniškai elektroninių nusikaltimų gaujai „RansomHub“ , kuri, kaip manoma, atsakinga už didelio atgarsio sulaukusią kibernetinę ataką prieš vieną didžiausių pasaulyje naftos paslaugų kompanijų „Halliburton“. Pastarasis pažeidimas atskleidė augančią išpirkos reikalaujančių programų atakų grėsmę, todėl vyriausybė buvo priversta paskelbti išsamų patarimą, kuriuo siekiama pažaboti nešvankią grupės veiklą.

„Halliburton Hit by RansomHub“: žvilgsnis iš arčiau

Rugpjūčio 21 d. „Halliburton“ pateikdama prašymą Vertybinių popierių ir biržos komisijai (SEC) atskleidė, kad jos sistemas pažeidė neteisėta trečioji šalis. Nors bendrovė nepateikė informacijos apie ataką, plačiai spėliojama, kad incidentas yra išpirkos reikalaujančios programos operacija. Pramonės ekspertai ir patikimi šaltiniai, įskaitant ransomware tyrinėtoją Dominicą Alvieri, susiejo ataką su RansomHub – grupe, kuri sparčiai išgarsėjo kibernetinių nusikaltimų pasaulyje.

Tokiose platformose kaip „Reddit“ skleidžiamos ataskaitos rodo, kad „RansomHub“ galėjo pavogti neskelbtinus duomenis iš „Halliburton“, reikalaudamas stulbinančios 45 mln. USD išpirkos. „Bleeping Computer“ taip pat palaikė šiuos teiginius, nurodydama konkrečius su „RansomHub“ veikla susijusius kompromiso (IoC) rodiklius. Tačiau ransomware gaujos nutekėjimo svetainė, kuri dažnai naudojama priversti aukas mokėti išpirkas, dar neįtraukė Halliburton į sąrašą kaip auka, o tai rodo, kad derybos vis dar gali vykti.

Vyriausybės patarimas: „RansomHub“ taktika, metodai ir procedūros

Reaguodami į didėjančią grėsmę, kurią kelia RansomHub, Kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA), Federalinis tyrimų biuras (FTB), Sveikatos ir žmogiškųjų paslaugų departamentas (HHS) ir Daugiavalstybinis informacijos mainų ir analizės centras. (MS-ISAC) išleido bendrą patarimą dėl grupės veiklos. Šis patarimas suteikia esminių įžvalgų apie „RansomHub“ savo veikloje naudojamą taktiką, metodus ir procedūras (TTP).

Pranešama, kad nuo tada, kai atsirado 2024 m. vasario mėn., „RansomHub“ taikė ir sukompromitavo daugiau nei 210 aukų duomenis. Grupės „Tor“ nutekėjimo svetainėje šiuo metu yra 180 aukų, tačiau vyriausybės šaltiniai teigia, kad tikrasis skaičius yra žymiai didesnis. RansomHub pasiekiama įvairiuose kritinės infrastruktūros sektoriuose, įskaitant vandens, IT, vyriausybines paslaugas, sveikatos priežiūrą ir skubios pagalbos tarnybas. Įdomu tai, kad patarime neminima jokios energetikos sektoriaus aukos, todėl kyla spėlionių, kad Halliburton incidentas gali būti tiesiogiai nesusijęs su patarimo laiku.

Didėjanti išpirkos programų grėsmė: raginimas būti budriems

Kadangi išpirkos reikalaujančių programų grupės, tokios kaip RansomHub, toliau vystosi ir plečia savo veiklą, negalima pervertinti tvirtų kibernetinio saugumo priemonių svarbos. JAV vyriausybės patarimas yra ryškus priminimas, kad organizacijos turi išlikti budrios ir aktyvios ginantis nuo tokių grėsmių.

Visų sektorių organizacijos, ypač svarbios infrastruktūros įmonės, raginamos peržiūrėti naujausius patarimus, įgyvendinti rekomenduojamas saugumo priemones ir būti budrios dėl besikeičiančios išpirkos programų grupių taktikos. „RansomHub“ kibernetinė ataka prieš „Halliburton“ pabrėžia niokojantį poveikį, kurį gali turėti išpirkos reikalaujančios programos ne tik atskiroms įmonėms, bet ir ištisoms pramonės šakoms bei valstybėms.