Неверные решения компании привели к абсолютной власти над системами жертвы.
Группировка ALPHV/BlackCat заявила о своих планах зашифровать системы компании Henry Schein в третий раз. Усилия группы являются частью давления на компанию за прекращение переговоров после масштабной кибератаки, произошедшей в октябре. Продолжающиеся переговоры с хакерами ухудшаются, и группировка обвиняет компанию в отсутствии профессионализма.
Henry Schein, один из мировых лидеров в области распределения товаров и услуг для здравоохранения, столкнулся с трудностями в восстановлении бизнес-операций после атаки. 15 октября компания сообщила, что была вынуждена отключить некоторые системы для локализации кибератаки. Отключение систем привело к сбоям в работе производственных и распределительных отделов.
История событий разворачивается как настоящая сага: компания Henry Schein, по всей видимости, оказывается в невыгодном положении. ALPHV/BlackCat опубликовала на своем сайте длинное сообщение, в котором критикует Henry Schein за ряд проблем, включая стратегические ошибки, недостаточную коммуникацию и принятие сомнительных решений.
Пост на сайте BlackCat
В сообщении группировка заявляет о «следующем уровне атаки» и разделяет его на три части: описание произошедшего, вопросы безопасности данных у Henry Schein и планы на будущее. Кроме того, группа предоставила своего рода «уроки», извлеченные из этих событий, для команды кибербезопасности и переговорщиков компании.
«Coveware, Stroz Friedberg, AVASEK, Proskauer, Clearly и другие поняли, что им не следует проявлять чрезмерную самоуверенность при работе с ALPHV. Их стратегии оказались пагубными, в результате чего уважаемая компания понесла за 2 месяца операционные убытки на общую сумму более $500 млн.», - заявили вымогатели.
К сообщению прилагаются образцы из 35 ТБ конфиденциальной информации, которую как утверждает BlackCat, группа извлекла из серверов Henry Schein. Данные включают конфиденциальные письма сотрудников, паспортные данные, личные данные клиентов и банковские счета поставщиков.
Группировка также опубликовала копию отчета компании Stroz Friedberg, который свидетельствует о возможности неограниченного доступа BlackCat к системам компании.
Отчёт Stoltz Friedberg
Первая атака была раскрыта 15 октября, когда компания отключила некоторые системы для предотвращения дальнейшего распространения вредоносного ПО. 13 ноября компания подтвердила, что злоумышленники получили доступ к такой конфиденциальной информации, как реквизиты банковских счетов и данные кредитных карт. Скорее всего утечке подверглись и другие ценные сведения. 22 ноября компания сообщила, что некоторые из её приложений и электронная коммерческая платформа снова были отключены в результате новой атаки, за которую также ответственна группа BlackCat.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках