Subway, victimă a ransomware-ului LockBit

Subway, victimă a ransomware-ului LockBit

Subway, o franciză multinațională de origine americană de tip fast-food, a fost vizată de ransomware-ul LockBit. Gruparea pretinde că a exfiltrat sute de gigabyte de date și i-a acordat companiei aproape două săptămâni pentru a plăti răscumpărarea.

Rating: 5.0 (3 voturi)
Noutăți 23.01.2024

Pe data de data de 21 ianuarie, LockBit a inclus Subway pe lista sa de victime postată site-ul său de pe dark web. Grupul amenință că va face publice datele dacă cerințele LockBit nu sunt îndeplinite până la 2 februarie. Conform postării afișate pe blogul de scurgeri de date al LockBit, publicată în aceeași zi, se pare că unul dintre membrii săi a reușit să pătrundă în baza de date a Subway, de unde au fost extrase informații sensibile referitoare la "toate aspectele financiare" ale acestei francize de fast food.

 

Confruntarea cu ransomware-ul LockBit în industria Fast-Food: amenințări, tactici și opțiuni strategice

LockBit susține că "cel mai mare lanț de sandwich-uri" pretinde că nimic nu s-a întâmplat, evidențiind liniștea canalelor oficiale ale companiei. Totodată, aceștia afirmă că au reușit să exfilteze sistemul intern SUBS al victimei, care conține sute de gigabyte de date și toate informațiile financiare ale francizei, incluzând salariile angajaților, plățile de taxă de franciză, comisioanele pentru franciza principală și cifra de afaceri a restaurantelor.

Compania nu a răspuns la solicitările presei pentru o declarație actualizată, dar a comunicat mass-mediei că investighează în prezent legitimitatea afirmațiilor.

Hackerii acordă o perioadă de timp limitată Subway-ului pentru a își recupera datele, ceea ce se rezumă practic la plata unei răscumpărări. În caz contrar, datele vor fi făcute publice și/sau vor fi comercializate. Operatorii LockBit 3.0 oferă servicii profesionale, inclusiv propriul serviciu de relații cu clienții.

Cum evoluează cazul rămâne neclar, dar dacă Subway își tratează în continuare securitatea cu aceeași seriozitate ca atunci când dezvolta aplicația sa Android, specialiștii săi în securitate ar putea opta pentru o recuperare și reconstrucție laborioasă în loc să plătească o răscumpărare.

O analiză detaliată a aplicației sale Android în 2015 a dezvăluit că dezvoltatorii și echipa sa de securitate aplicau măsuri de securitate deseori întâlnite doar în aplicații bancare de înaltă calitate.

 

LockBit 3.0, liderul pieței în domeniul ransomware

LockBit domină piața printre furnizorii de Ransomware-as-a-Service (RaaS). Pe site-urile de scurgeri de date, unde informațiile victimelor sunt publicate, aparițiile LockBit sunt de patru ori mai frecvente decât cele ale concurenței, cum ar fi Alphv/BlackCat.

Automatizarea reprezintă un punct forte, ce diferențiază serviciile oferite în spațiul digital. LockBit poate să se răspândească automat în rețeaua unei organizații. Ușurința în utilizare este unul dintre motivele principale pentru care acest ransomware este atât de popular. În mod obișnuit, hackerii trebuie să fie activ implicați în răspândirea codului în interiorul unei rețele, ceea ce încetinește procesul în mod considerabil și face mai ușor de detectat. Serviciul este promovat pe dark web ca "cel mai rapid software de criptare din întreaga lume".



Dinamica evoluției LockBit și adaptările la schimbările în securitate cibernetică

Similar altor programe de acest gen, eficacitatea sa depinde de existența unei aspecte sensibile în serviciile organizației expuse către exterior sau de prezența unei persoane neștiutoare. Obiectivele tind să provină fie dintr-o vulnerabilitate a securității software-ului, fie de la un angajat înșelat de un e-mail de phishing. Acestea reprezintă metodele principale prin care ransomware-ul obține acces la rețeaua unei companii.

Lansarea versiunii 3.0 a LockBit în 2022 exemplifică modul în care infractorii cibernetici schimbă constant tactica. Instrumente îmbunătățite, mecanisme anti-detectare și dezactivarea Windows Defender sunt printre adițiile față de versiunea 2. Un detaliu semnificativ este că LockBit a inițiat un program de "bug bounty". Alți hackeri pot ajuta grupul de criminalitate cibernetică să remedieze problemele în ransomware. Astfel, ei pot contribui la posibile realizarea unei posibile versiuni 4.0.

 

Evoluții în cererile de răscumpărare și negocieri în atacurile LockBit 3.0

LockBit a dezvăluit o reconfigurare în modul în care colaborează cu echipele de răspuns la incidente ale victimelor, datorită faptului că afiliații săi au cedat în fața organizațiilor și nu au asigurat plățile de răscumpărare așteptate.

Conform informațiilor colectate în 2023, LockBit a stabilit directive clare privind cererile de răscumpărare și cât de generoși sunt afiliații săi în a oferi reduceri înainte de a renunța la negocieri.

Subway nu este o companie listată public, iar cifrele sale de câștiguri sunt făcute publice mai puțin frecvent decât cele ale unor competitori din industria fast-food. LockBit calculează cererea de răscumpărare pe baza unui procent din venitul anual al victimei, ceea ce în acest caz va fi mai puțin specific decât în alte atacuri.

Fără cifre oficiale, LockBit probabil că își va face propriile estimări sau își va baza calculele pe cifre din surse deschise, care variază în funcție de sursă. În orice caz, cererile vor fi probabil în zeci de milioane de dolari, având în vedere cazurile istorice cu întreprinderi mari.

 

Măsuri de prevenire și recuperare în fața atacurilor LockBit

Cum poate o organizație să prevină sau să se recupereze după un atac LockBit? Așa cum s-a menționat, plata unei răscumpărări este o opțiune, dar departe de a fi dorită. În timp ce această opțiune nu este tehnic ilegală, transferul de criptomonede este ceea ce permite acestor organizații să-și continue activitățile criminale.

 

Măsurile generale în ceea ce privește securitatea cibernetică trebuie respectate obligatoriu și pentru cazurile particulare de ransomware: trebuie să fim precauți în privința e-mailurilor din afara organizației, să păstrăm copii de rezervă ale datelor și să ne asigurăm că software-ul de securitate este actualizat. În plus, parolele complexe și autentificarea în două pași întăresc securitatea generală a rețelelor organizațiilor. Simplificarea privilegiilor de sistem previne, de asemenea, confuziile, la fel ca ștergerea conturilor neutilizate.



Sursa1, sursa2, sursa3, sursa4