Виновником кибератаки на транспортную компанию Transnet оказался вымогатель Death Kitty

Южноафриканская госкомпания Transnet, ранее объявившая форс-мажор из-за кибератаки, пострадала от вымогательской программы Death Kitty, сообщило информагентство Bloomberg.

В сообщении с требованием выкупа, оставленным на зараженных системах, хакеры утверждают, что зашифровали файлы компании, включая 1 ТБ персональных данных, финансовые отчеты и прочие документы. Уведомление также содержало адрес портала в даркнете для проведения переговоров о выкупе.

Transnet управляет крупными портами Южной Африки, включая Дурбан и Кейптаун, а также огромной железнодорожной сетью, перевозящей минералы и другие товары на экспорт. В результате инцидента, имевшего место 22 июля нынешнего года, компания была вынуждена приостановить операции в контейнерных терминалах и перейти на обработку грузов вручную.

По словам специалиста ИБ-компании Crowdstrike Адама Мейерса (Adam Meyers), текст требования о выкупе схож с сообщениями, связанными с семейством вымогателей Death Kitty (оно же Hello Kitty и Five Hands), известным по атаке на польского разработчика видеоигр CD Projekt.

В настоящее время неясно, где «обитают» операторы вымогателя, атаковавшего Transnet. Как полагают ИБ-эксперты, группировка может иметь восточноевропейское или российское происхождение.

В то время как другие вымогательские команды рекламируют свои эксплоиты на хакерских форумах и публикуют объявления о найме участников на сайтах в даркнете, операторы Death Kitty и его вариантов ведут себя более сдержанно.

«Мы не видели никаких объявлений о найме или продаже чего-либо, связанного с данным вымогательским ПО, так что это либо закрытая группа, либо частный сервис, который не рекламируется», - отметил Мейерс.