Otomotiv Parçaları Üreticisi Denso, 10 Mart'ta yeni bir Pandora Ransomware operasyonu, saldırı sırasında çalınan verilerin sızdırmaz hale gelmeye başladıktan 10 Mart'ta bir CyberAttack'u yaşadığını doğruladı.
Denso, dünyanın en büyük otomotiv bileşenleri üreticilerinden biridir, Toyota, Mercedes-Benz, Ford, Honda, Volvo, Fiat ve Geniş Elektrik, Elektronik, Güçlendirme Kontrolü ve çeşitli diğer özel parçalara sahip General Motors gibi markaları tedarik etmektedir.
Şirket Japonya'dan faaliyet göstermektedir, ancak dünya çapında 200'den fazla iştiraki ve 168.391 çalışanı var ve 2021 yılı için 44,6 milyar dolarlık gelir elde ediyor.
Denso, bu hafta sonu Almanya'daki kurumsal ağlarının, BleepingComputer ile paylaşılan bir açıklamada 10 Mart 2022'de ihlal edildiğini onayladı.
Şirket, yasadışı erişimin tespit edilmesini iddia etti ve derhal, yalnızca ağ cihazlarının geri kalanından gelen davetsiz misafirleri kesmek için, yalnızca Alman bölünmesine olan etkiyi sınırlandırdı.
"Denso, Almanya ağındaki Grup şirketinin 10 Mart 2022'de bir üçüncü şahıslar tarafından yasa dışı olarak eriştiğini doğruladı," dedi DENSO tarafından yayınlanan basın ifadesini okuyor.
"İzinsiz erişimin tespit edilmesinden sonra, denso derhal yetkisiz erişim alan cihazların ağ bağlantısını kesti ve diğer denso tesisleri üzerinde bir etkisi olmadığını doğruladı."
Tüm üretim tesisleri ve tesisleri normal şekilde çalışmaya devam etmektedir, bu nedenle bu güvenlik olayından hiçbir tedarik zinciri bozulması beklenmemektedir.
DENSO tedarik zincirinde bir bozulma, küresel olarak birden fazla tesiste otomobillerin üretiminde bir domino etkisine neden olur, yonga kıtlığı ve Ukrayna bazlı bitkilerin kapanması nedeniyle zaten mücadele eden bir endüstriye girer.
Denso, CyberAttack'ın operasyonları üzerinde bir etkiye neden olmadığını belirtirken, yeni Pandora Ransomware Gang, şebeke ihlali sırasında çalındığı iddia edilen 1.4tb dosyaların sızdırmasına başladı.
Bleeping bilgisayarı tarafından görülen sızdırılmış verilerin örnekleri arasında satınalma siparişleri, teknik şemaları, açıklama sözleşmeleri vb. İçerir. Bu noktada, sızdırılmış dosyaların son olayda çalınmadığını doğrulamayız.
DENSO, ihlalin yerel araştırma makamlarını bilgilendirmiştir, bu nedenle sirkülasyon dosyaları otantik, kopyalama, paylaşma veya yayınlarsa, firmanın fikri mülkiyet haklarının ihlal edilmesini oluşturur.
Pandora, kendi şifrelemeleriyle bir fidye yazılım çetesi olsa da, saldırı tespit edilmeden önce DENSO'nun ağındaki dosyaları başarıyla şifrelenirse bilinmemektedir.
Bir güvenlik araştırmacısı, karanlık bir web pazarında birkaç ay sonra bir ağ erişim listesi gördüğünü iddia etti ve çalınan kimlik bilgileri hakkında Denso uyardı.
Yeterince komik, birkaç ay önce, ağlarına girdiler, eğer ağlarına girdiler.
İlk erişim teklifinin alımı olası bir senaryo olmasına rağmen, şirket şu anda nasıl ihlal edildiklerini açıklamamıştır.
Denso'daki CyberAttack, bir otomobil üreticisi veya kayda değer bir otomobil parçasına karşı 2022'de üçüncü sırada.
Şubat ayında, dünyanın en büyük otomobil üreticisi olan Toyota, birincil tedarikçilerinden birinde felaket bir BT arızası nedeniyle Japon tesislerinin 14'ünde üretimini durdurmak zorunda kaldı.
Geçen hafta, Bridgestone, Lockbit Grubu'nun sorumluluk aldığı ve medyanın bazı güney ve kuzey Amerika operasyonlarının birinin sonucu olarak durduğunu söylediğini söyledi.
Pandora Ransomware, 2022 Mart'ta kurumsal ağları hedefleyen ve çift gasp saldırıları için verileri çalan yeni bir operasyondur.
Bir ağa erişim kazandıktan sonra, tehdit aktörleri bir ağ üzerinden lateral olarak yayılırken, nesnel olmayan dosyaları sıkıştırılmamış dosyaları çalınır.
Bir cihazı şifrelerken, fidye yazılımı .pandora uzantısını aşağıda gösterildiği gibi şifreli dosyalar adlarına ekler.
Ransomware dosyaları şifrele olarak, Pandora 'restore_my_files.txt' adlı her klasörde Ransom Notes oluşturacak. Bu Ransom Notes, cihaza olanları açıklar ve mağdurların fidye müzakerelerini yapmak için temas edebileceği bir e-posta adresini içerir.
Ransom notları ayrıca, çift gasp kampanyalarını yürütmek için Ransomware çetesi tarafından kullanılan bir veri sızıntısı sitesine bağlantı bulunur.
Ransomware operasyonu çok yeni olduğu için, kurumsal ağlara nasıl erişebilecekleri ve ne kadar fidye olarak talep ettikleri bilinmiyor.
Güvenlik Araştırmacısı Pancak3, Pandora'nın, operasyonun kullandığı kod benzerlikleri ve paketleyicileri nedeniyle ROOK Ransomware'in bir rebrand olduğunu inanıyor.
Pandora Ransomware'in bir örneği, Virustotal ile ROOK olarak Inzerer tarafından tespit edilir, kod benzerliklerini belirtir.
Ayrıca, Güvenlik Araştırmacısı Arkbird, Pandora'nın, LockFile / Atomsilo Ransomware operasyonlarının önceki bir rebrand'ı 'Nightsky' olarak aynı çalıştırılabilir paketleyiciyi kullandığını keşfetti.
(burada Pandora vs rook f87be226e26e873275bde549539f70210ffe5e3a129448ae807a319cbdcf77789) İmplant'ı çalıştırmak için açmak için benzer bir işlem yapın. Son yükleme yükü, RAOK Ransomware için YARAR kurallarına da tetikler. Böylece Nightsky'den sonra bir kalenin yeniden adlandırılması. pic.twitter.com/i1wx9penah
ROOK, geçen Eylül'de bir hacker forumunda sızdırılan Babuk Ransomware operasyonundan kaynak kodunu dayandırdığına inanılıyor.
Garip bir şekilde, kale, 2021'de DENSO'ya ait olduğu iddia edilen Aralık ayında veri yayınlamıştı, bu yüzden şirketin aynı fidye yazılımı operasyonu tarafından iki kez vurulması durumunda net değil.
Ransomware işlemleri, güvenlik topluluğunun, yasa uygulayıcıların ve hükümetlerden potansiyel yaptırımları kaybetmelerine yardımcı olacağı umutlardaki 'Rebrand' olarak adlandırdılar.
Bununla birlikte, tehdit aktörleri kötü amaçlı yazılımların kodlarını, araçlarını ve taktiklerini tamamen değiştirmediği sürece, bir çete rebrands ne zaman algılamanın, önceki Ransomware operasyonlarına bağlanmayı kolaylaştırmanın her zaman yolları olacaktır.
Pandora bir kale rebrand ise, bu ransomware ailesinin diğer sürümleriyle daha önce gördüğümüz gibi, bir kez daha başka bir ada rebrands daha önce bu isim altında çalışan operasyonu göreceğiz.
Business Services Sağlayıcısı Morley, Ransomware Olayını Açıkladı
Revil Ransomware Üyesi, Kaseya Saldırısı için yargılanmak için U.
Kalıcılık için Hackerlar Çatal Açık Kaynak Ters Tunneling Aracı
Ransomware'de hafta - 4 Mart 2022 - Conti Kaçakları
Conti Ransomware KAYNAK KODU Ukrayna araştırmacısı tarafından sızdırılmış
Kaynak: Bleeping Computer