3 июля 2020 г.
Хакеры, использующие вирус-вымогатель Maze, заявляют, что взломали системы Xerox, и угрожают слить огромные объемы данных, если им не заплатят выкуп.
Взломщики опубликовали на своем сайте скриншоты, показывающие, что компьютеры по крайней мере в одном домене Xerox были зашифрованы, сообщает онлайн-издание BleepingComputer. Операторы Maze утверждают, что похитили более 100 Гбайт файлов Xerox и будут публиковать их, если компания не вступит в переговоры о выкупе.
Xerox отказалась от комментариев. Акции компании просели на 0,42 долл. (2,7%) до 15,15 долл. с момента появления информации на сайте BleepingComputer во вторник днем.
BleepingComputer сообщает, что хакеры опубликовали серию из 10 скриншотов, на которых показаны списки файлов в каталогах от 24 июня и 25 июня, общие сетевые ресурсы и окошко с требованием выкупа, которое было убрано, когда завершилось шифрование. Один скриншот показывает, что были взломаны хосты в домене «ex.xerox.net», принадлежащем Xerox, пишет издание.
«После выплаты выкупа данные будут удалены с наших дисков, и вам будет выслан дешифровальщик, так что вы сможете восстановить свои файлы», — говорится в сообщении, присланном компании операторами Maze, сообщает BleepingComputer.
Похоже, что хакеры выкрали финансовые документы и базы данных, возможно, хранящие информацию о пользователях, пишет издание SecurityWeek. Даты, показанные на скриншотах, позволяют предположить, что вирус начал шифровать файлы на компьютерах Xerox 24 июня, пишет издание.
Операторы Maze угрожают начать публиковать информацию из файлов, если Xerox не свяжется с ними в течение трех дней, сообщает BleepingComputer. Имя домена показывает, что был взломан филиал Xerox в Европе, а имена хостов свидетельствуют, что это офис в Лондоне, пишет издание.
В сообщении на сайте хакеров отсутствуют какие-либо подробности атаки, кроме доказательства взлома и шифрования систем компании, пишет BleepingComputer. Операторы Maze пока еще не делали ложных заявлений о взломах компаний, хотя масштаб атаки может быть порой преувеличен, сообщает SecurityWeek.
Атаки на VAR’ов
Шифровальщик Maze, похоже, готов разорить ИТ-отрасль в этом году.
Cognizant (Тинек, шт. Нью-Джерси), № 6 в списке CRN «Solution Provider 500» 2020 года, публично признала 18 апреля, что ее сеть была инфицирована; в итоге вирус зашифровал серверы компании и помешал поддержке удаленной работы, выведя из строя инструменты, которые использовались для автоматизации обслуживания ноутбуков.
CRN первым сообщил, что некоторые сотрудники Cognizant потеряли доступ к электронной почте из-за атаки Maze, что вынудило их взаимодействовать с коллегами и клиентами другими средствами. По оценке компании, упущенный доход и потеря маржи во 2 квартале из-за атаки Maze составят от 50 млн долл. до 70 млн долл., сообщила Cognizant 7 мая.
Затем в начале июня операторы Maze опубликовали два ZIP-файла, содержащие документы, относящиеся к работе Conduent (Баскин-Ридж, шт. Нью-Джерси), № 20 в списке CRN SP 500, в Германии. Conduent сообщила, что атака произошла 29 мая и длилась около девяти часов, прежде чем системы удалось вернуть к работе. Conduent отделилась от Xerox в 2017 году, став независимой компанией.
Шифровальщик Maze существует всего год, но уже нанес значительный ущерб бизнесу и городским органам власти по всему миру, стал предметом судебных исков, попыток подмены отправителя электронной почты и троллинга.
© 2020. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США