Атака задержала проекты и повлияла на работу заводов.
Швейцарская компания ABB, один из мировых лидеров в области робототехники, стала жертвой кибератаки группы вымогателей Black Basta. По данным источников, атака затронула сотни устройств компании.
ABB приостановила VPN-соединения с клиентами, чтобы не допустить распространения вредоносного ПО по другим сетям. Компания имеет более 100 тысяч сотрудников и в прошлом году заработала 29,4 миллиарда долларов.
Клиенты ABB представлены в разных секторах экономики, как государственных, так и частных. “ABB работает более чем на 40 инженерных, производственных, научно-исследовательских и сервисных объектах в США с проверенной репутацией по обслуживанию различных федеральных агентств, включая Министерство обороны, таких как Инженерный корпус армии США, и федеральных гражданских агентств, таких как Министерства внутренних дел, транспорта, энергетики, береговой охраны США, а также почтовую службу США”, - говорится на сайте компании.
Первоначальная атака с использованием вымогательского ПО произошла 7 мая. По утверждению источников, Black Basta атаковала компанию через Windows Active Directory, заражая сотни устройств.
Сообщается, что атака нарушила работу компании, задержала проекты и повлияла на работу заводов.
Сначала отказавшись комментировать кибератаку, ABB прислала следующее заявление:
«Компания ABB недавно обнаружила инцидент с ИТ-безопасностью, который напрямую затронул ИТ системы компании. Чтобы исправить ситуацию, ABB приняла и продолжает принимать меры по сдерживанию инцидента. Такие меры сдерживания привели к некоторым сбоям в деятельности, которые компания устраняет. Подавляющее большинство систем и заводов в настоящее время работают и ABB продолжает безопасно обслуживать своих клиентов. ABB продолжает усердно работать со своими клиентами и партнерами, чтобы устранить последствия инцидента».
Black Basta - это оператор программ-вымогателей и преступная организация, предлагающая Ransomware-as-a-Service (RaaS), которая впервые появилась в начале 2022 года и сразу стала одним из самых активных групп угроз RaaS в мире, насчитывая более 100 подтвержденных жертв за первые несколько месяцев работы.
Для проникновения в сети жертв Black Basta использует различные методы, включая спам-рассылки, уязвимости в программном обеспечении и покупку доступа у других хакеров. Для сбора учетных данных и перемещения по сети Black Basta применяет такие инструменты, как QakBot, Mimikatz, PowerShell и PsExec. Для удаленного управления зараженными системами Black Basta устанавливает Cobalt Strike и SystemBC. Для эксплуатации повышения привилегий Black Basta может использовать уязвимости ZeroLogon, NoPac и PrintNightmare.
Стадия шифрования файлов начинается с отключения антивирусных продуктов, удаленного запуска полезной нагрузки через PowerShell и удаления теневых копий системы с помощью программы vssadmin.exe. Затем Black Basta запускает свое вымогательское ПО, которое использует комбинацию алгоритмов ECC и XChaCha20 для шифрования данных пользователей. Black Basta связана с группой FIN7 (Carbanak), которая специализируется на краже банковских данных. Это подтверждается сходством модулей для обхода EDR и пересечением IP-адресов для командно-контрольных операций.
По данным SecurityLab.ru, Black Basta также причастна к следующим инцидентам:
Гравитация научных фактов сильнее, чем вы думаете