Взлом Halliburton: бизнес-процессы парализованы, клиенты в панике

Недавно одна из крупнейших нефтегазовых компаний Halliburton стала жертвой кибератаки, которая привела к серьезным сбоям в работе IT-систем и бизнес-процессов. Ответственность за атаку взяла на себя группа RansomHub.

Атака привела к массовым сбоям в работе компании. Клиенты Halliburton не могли выставлять счета и оформлять заказы, так как необходимые системы были отключены. Компания официально подтвердила, что хакеры получили доступ к ряду систем. Однако подробности об атаке и её масштабах Halliburton сначала предпочла не раскрывать, что вызвало недовольство среди клиентов, оставшихся в неведении относительно возможных последствий для их бизнеса и мер по защите.

На фоне недостатка информации некоторые клиенты компании приняли решение разорвать связь с Halliburton, чтобы избежать возможных рисков. Тем временем другие компании обратились за помощью к ONG-ISAC — агентству, которое координирует действия в сфере кибербезопасности для нефтегазовой отрасли, чтобы выяснить, были ли их системы также скомпрометированы.

Слухи о том, что за атакой стоит группа RansomHub, ходили в течение нескольких дней, и позже это подтвердилось. На Reddit и TheLayoff были опубликованы частичные фрагменты записок с требованием выкупа от RansomHub. Несмотря на развитие событий, Halliburton отказалась от комментариев, сославшись на то, что все дальнейшие заявления будут сделаны через официальные отчеты SEC.

В письме, направленном 26 августа поставщикам и изданию BleepingComputer, Halliburton уточнила, что в целях безопасности системы были временно отключены, а для расследования инцидента была привлечена компания Mandiant. В письме также сообщалось, что электронная почта Halliburton продолжает функционировать, так как размещена в инфраструктуре Microsoft Azure. Для продолжения работы с заказами и выставлением счетов была предложена временная альтернатива.

Среди технических данных, предоставленных клиентам для обнаружения подозрительной активности в сетях, был указан файл с именем «maintenance.exe», который является шифровальщиком от RansomHub. В ходе анализа выяснилось, что это новая версия программы, способная выполнять команды на устройстве перед шифрованием файлов.

Шифровальщик RansomHub, использованный в атаке на Halliburton

С начала года RansomHub отметилась рядом громких атак, в том числе на некоммерческий кредитный союз Patelco, сеть аптек Rite Aid, и телекоммуникационную компанию Frontier Communications. Кроме того, сайт утечек данных группы использовался для публикации украденной информации, принадлежавшей компании Change Healthcare, после того как была прекращена деятельность группировки ALPHV/BlackCat. Считается, что после закрытия BlackCat часть её участников присоединилась к RansomHub, что позволило группе быстро увеличить количество атак благодаря опыту новых участников.