Nieujawniona liczba użytkowników platformy punktów sprzedaży Aloha międzynarodowego giganta płatniczego NCR dla firm hotelarskich doświadcza ciągłej przerwy w świadczeniu usług w następstwie Oprogramowanie ransomware BlackCat atak w zeszłym tygodniu.
Awaria ma wpływ na wiele elementów platformy Aloha w Ameryce Północnej oraz ograniczoną liczbę usług w Europie i regionie Azji i Pacyfiku, głównie związanych z zamówieniami online.
Incydent rozpoczął się około środy 12 kwietnia i objawił się awarią centrum danych DFW05 organizacji, która wpłynęła na „ograniczoną liczbę pomocniczych aplikacji Aloha” dla „podzbioru” jej klientów.
w oświadczeniu, NCR powiedział: „13 kwietnia potwierdziliśmy, że awaria była wynikiem incydentu z oprogramowaniem ransomware. Natychmiast po odkryciu tego zjawiska zaczęliśmy kontaktować się z klientami, zaangażowaliśmy zewnętrznych ekspertów ds. bezpieczeństwa cybernetycznego i rozpoczęliśmy dochodzenie. Powiadomione zostały również organy ścigania.
„Proszę mieć pewność, że mamy wyraźną ścieżkę do wyzdrowienia i działamy przeciwko niej” – powiedział. „Pracujemy przez całą dobę, aby przywrócić pełną obsługę naszych klientów. Ponadto zapewniamy naszym klientom dedykowaną pomoc i obejścia, aby wspierać ich działalność, gdy pracujemy nad pełną odbudową. Restauracje, których to dotyczy, nadal mogą obsługiwać swoich klientów. Uszkodzona jest tylko określona funkcjonalność. Nie ma to wpływu na aplikacje płatnicze ani systemy lokalne.
„Bezpieczeństwo i integralność naszych systemów jest najwyższym priorytetem dla NCR” – powiedziała organizacja. „Będziemy nadal na bieżąco informować o istotnych informacjach i damy znać, gdy tylko usługi, których dotyczy problem, zostaną w pełni przywrócone. W międzyczasie skontaktuj się z pomocą techniczną NCR lub przedstawicielem swojego konta, jeśli masz jakiekolwiek pytania lub potrzebujesz dodatkowej pomocy”.
Atak został zgłoszony przez BlackCat w sobotę 15 kwietnia, jak początkowo zgłoszone przez badacza bezpieczeństwa Dominica Alvieri. W poście na swojej ciemnej stronie internetowej gang powiedział, że NCR skontaktowało się z nim w celu ustalenia, jakie dane zostały skradzione, czyli rzekomo dane uwierzytelniające klienta używane do uzyskania dostępu do Aloha. Posty te zostały następnie usunięte z witryny BlackCat.
Wśród użytkowników platformy Aloha firmy NCR w Wielkiej Brytanii znajdują się znane sieci, takie jak BrewDog, Dishoom, Gaucho i Yo! Sushi. Nic nie wskazuje na to, aby dane z którejkolwiek z tych organizacji zostały skradzione, ale posty są do tego dedykowane Subreddit Aloha sugerować, że awaria miała miejsce pewien wpływ w Wielkiej Brytanii.
„Ataki ransomware na platformy POS mogą mieć katastrofalny wpływ na branżę hotelarską, prowadząc do przestojów w usługach i długotrwałych zakłóceń” — powiedział Simon Chassar, dyrektor ds. przychodów w Claroty.
“Nasze badania pokazuje, że w 2021 r. 51% sektora żywności i napojów zgłosiło poważne zakłócenia w wyniku ataku ransomware. Ponadto ataki te mogą spowodować znaczne straty finansowe dla organizacji, a ponad jedna trzecia twierdzi, że wpływ zakłóceń operacyjnych na dochody wyniósłby co najmniej co najmniej milion dolarów na godzinę”.
Powiedział, że wraz z postępującą automatyzacją i cyfryzacją branży hotelarskiej, jej ogólna powierzchnia ryzyka może wzrosnąć, a ponieważ sektor wciąż zmaga się z pandemią Covid-19, nie może sobie pozwolić na przestoje wynikające z oprogramowania ransomware.
Dlatego, jak powiedział Chassar, konieczne jest, aby firmy z branży hotelarskiej próbowały wdrożyć bardziej proaktywne praktyki w celu zabezpieczenia swoich systemów.
„Firmy muszą mieć wgląd w całą swoją sieć dla wszystkich podłączonych zasobów, aby zrozumieć swój poziom ryzyka i dostarczać poprawki do krytycznych zasobów, takich jak technologia operacyjna i urządzenia IoT” – powiedział. „Niezbędne jest również segmentowanie ich sieci, aby ograniczyć niepotrzebną łączność i przepływ złośliwego oprogramowania, aby złagodzić skutki cyberataków”.
Kim jest Czarny Kot?
BlackCat – do którego należą również ALPHV i Noberus – zyskał rozgłos na początku 2022 r. dzięki seria napadów NA organizacji infrastruktury krytycznej w Europie. Operacja jest wspierana przez grupę śledzoną jako Coreid, FIN7 i Carbon Spider w różnych macierzach zagrożeń, gracza o ugruntowanej pozycji w „społeczności” oprogramowania ransomware z siedzibą w Rosji lub z nią powiązaną.
Pod koniec 2022 roku pojawił się jako bardzo niebezpieczny aktorz częstymi aktualizacjami złośliwego oprogramowania blokującego, w tym kompilacją ARM do szyfrowania niestandardowych architektur oraz lepszą funkcją szyfrowania dla kompilacji Windows i Linux.
BlackCat jest stosunkowo konsekwentnym zagrożeniem w porównaniu z LockBit, ale zwiększył liczbę ataków w lutym, biorąc pod uwagę za około 13% ataków ransomware zaksięgowane w telemetrii NCC za ten okres, jak udokumentowano w jej miesięcznym raporcie o zagrożeniach.