Gang ransomware Akira przyznał się do cyberataku na systemy producenta i sprzedawcy kosmetyków Lush z siedzibą w Wielkiej Brytanii, który po raz pierwszy ujawniono na początku tego miesiąca.
Lush potwierdził, że bada bieżący incydent związany z bezpieczeństwem cybernetycznym w dniu 11 stycznia 2024 rtwierdząc, że prowadzi kompleksowe dochodzenie przy pomocy zewnętrznej i podjął już kroki w celu sprawdzenia i zabezpieczenia swoich systemów.
Strona internetowa Lush, podobnie jak jej sklepy stacjonarne, pozostawała dostępna, co sugeruje, że wpływ cyberataku był dość ograniczony lub że organizacja wdrożyła skuteczne środki zaradcze.
Według Blokada okupu projektu śledzenia oprogramowania ransomware typu open source, który monitoruje blogi, strony z wyciekami i inne źródła informacji, gang opublikował dziś (piątek 26 stycznia) szczegóły swojego włamania.
Oświadczyła, że pozyskała 110 GB danych z systemów Lush, rzekomo obejmujących dokumenty osobiste, dane paszportowe, informacje księgowe i finansowe, trwające projekty oraz dane klientów. Nie udało się zweryfikować zasadności tego twierdzenia. Computer Weekly skontaktował się z Lushem, ale nie otrzymał odpowiedzi w momencie publikacji.
Chester Wiśniewski, dyrektor i globalny dyrektor ds. technologii w Sophos, powiedział: „Nie jest jasne, czy był to atak oprogramowania typu ransomware, czy zwykłe wymuszenie, ponieważ usługi reagowania na incydenty Sophos zaobserwowały, że załoga ta angażowała się w jedną lub obie czynności wobec swoich ofiar. Jeśli było to wymuszenie bez elementu szyfrującego, może to być przyczyną braku widocznych zewnętrznych zakłóceń w działalności Lush.
„Akira staje się siłą, z którą należy się liczyć” – dodał. „Zaobserwowaliśmy, że do naszych służb reagowania na incydenty zgłasza się coraz większa liczba ofiar. Wydaje się, że preferują atak podatne na ataki produkty Cisco VPN i narzędzia dostępu zdalnego bez wdrożonej usługi MFA. Chociaż nie znamy przyczyny rzekomego naruszenia Lush, jest to doskonałe przypomnienie o znaczeniu celowego instalowania poprawek wszystkich zewnętrznych komponentów sieciowych oraz wymogu uwierzytelniania wieloskładnikowego dla wszystkich technologii dostępu zdalnego.
Nazwany na cześć kultowego filmu anime z 1988 roku, przedstawiającego gangi motocyklowe w dystopijnej przyszłości Tokio, uważa się, że Akira rozpoczął działalność ok. marzec 2023 r, kiedy osoby reagujące na incydenty po raz pierwszy zaczęły zauważać powiązania między podobnymi cyberatakami, w ramach których upuszczone zostały identyczne notatki, z plikami zaszyfrowanymi z rozszerzeniem .akira. Uważa się, że poprzednie oprogramowanie ransomware o tej samej nazwie nie jest ze sobą powiązane.
Idąc na całość w cyberpunkowej estetyce, gang od razu zwrócił uwagę na witrynę wycieków w kolorze retro, czarno-zieloną, znaną również z tego, że prosi odwiedzających i ofiary o wprowadzenie poleceń umożliwiających dostęp do skradzionych danych, przeczytanie najnowszych wiadomości lub skontaktowanie się z nimi.
Do końca 2023 rokuzałoga ta została zdecydowanie uznana za „potężne” zagrożenie, szczególnie dla MŚP, i pochłonęła setki rzekomych ofiar.
Jest skierowany przede wszystkim do organizacji w Australii, Europie i Ameryce Północnej, działających w sektorach rządowym, produkcyjnym, technologicznym, edukacyjnym, konsultingowym, farmaceutycznym i telekomunikacyjnym. Z powyższych obserwacji Wiśniewskiego wynika, że gang staje się szczególnie zagorzałym zwolennikiem wyłaniającej się taktyki eksfiltracji danych bez szyfrowania systemów ofiar za pomocą oprogramowania ransomware.