Японський виробник електроніки Casio підтвердив 11 жовтня, що кіберінцидент, про який повідомлялося раніше цього тижня, був атакою вірусу-здирника, який потенційно розкрив інформацію співробітників, клієнтів, ділових партнерів та афілійованих осіб.
В оновленій заяві компанія повідомила, що в атаці 5 жовтня були задіяні сервери, які «були пошкоджені в результаті атаки стороннього програмного забезпечення з вимогою викупу».
Кілька систем були виведені з ладу через атаку вірусу-здирника, а розслідування показало, що хакери отримали доступ до даних, які зберігалися на постраждалих серверах. Компанія вимкнула сервери і найняла зовнішні фірми з безпеки, щоб допомогти з реагуванням.
Casio створила робочу групу для роботи над відновленням внутрішніх систем, які постраждали, а 6 жовтня компанія повідомила поліцію Японії про інцидент. Офіційні особи також зв’язалися з Комісією із захисту персональних даних Японії 7 жовтня.
Станом на 11 жовтня Casio заявила, що вважає, що стався витік особистої інформації тимчасових і контрактних працівників. Особиста інформація працівників афілійованих компаній також була розкрита разом з даними ділових партнерів, людей, які проходили співбесіди на роботу в компанії в минулому, і деяких клієнтів, «які користуються послугами, що надаються компанією і деякими афілійованими компаніями».
Casio не вказала, які саме дані були взяті з кожної групи, але заявила, що інформація про кредитні картки клієнтів не була включена.
У заяві додається, що під час атаки також стався витік інформації, пов’язаної з контрактами, рахунками-фактурами і продажами, що стосуються нинішніх і колишніх бізнес-партнерів, а також афілійованих компаній Casio.
Хакери могли отримати доступ до внутрішніх юридичних документів та даних про планування людських ресурсів, аудит, продажі, технічну інформацію тощо.
«Будь ласка, пам’ятайте, що існує ймовірність того, що ваша особиста інформація може бути використана для надсилання вам небажаних електронних листів, таких як фішингові або спам-повідомлення. Якщо ви отримали підозрілий електронний лист, будь ласка, не відкривайте його і видаліть», – заявили в Casio.
Компанія також попросила не поширювати викрадену інформацію через соціальні мережі, оскільки це «може збільшити шкоду, заподіяну витоком інформації про цю справу, порушити приватність постраждалих, мати серйозні наслідки для їхнього життя і бізнесу, а також заохотити до злочинів».
У четвер відповідальність за атаку взяло на себе угруповання «Underground», яке займається вимаганням викупу. Хакери заявили, що викрали 204,9 ГБ даних компанії, і запропонували зразки викраденого, щоб довести свою легітимність.
Дослідники заявили, що група вперше з’явилася в липні 2023 року, і кілька експертів пояснили, що вона, схоже, має зв’язок з російською групою кіберзлочинців RomCom.
У Fortinet зазначили, що група налічує 16 жертв, більшість з яких проживають у США та Європі. Минулого року Microsoft опублікувала звіт, в якому описала діяльність RomCom, яка, за її словами, «відома тим, що проводить опортуністичні операції з вимагання викупу, а також цілеспрямовані кампанії зі збору облікових даних, ймовірно, для підтримки розвідувальних операцій».
«[Група] експлуатує, розробляє і поширює бекдор RomCom. Вона також розгортає програму-вимагач Underground, яка тісно пов’язана з програмою-вимагачем Industrial Spy, вперше виявленою в дикій природі в травні 2022 року», – зазначили в компанії.
«Виявлені атаки програм-вимагачів вплинули, зокрема, на телекомунікаційну та фінансову галузі».
У Microsoft додали, що виявили «значні збіги коду» з вірусом-здирником Industrial Spy, що, на їхню думку, означає, що Underground – це ребрендинг тієї ж операції.
Casio заявляє, що атака вірусу-здирника викрила інформацію про співробітників, клієнтів та бізнес-партнерів
