אתר החדשות BleepingComputer מדווח על פריצה למערכות המחשוב של ספק רכב על ידי שלוש כנופיות כופרה שונות במשך שבועיים בחודש מאי, כאשר שתיים מההתקפות התרחשו תוך שעתיים בלבד! ההתקפות הגיעו בעקבות פריצה ראשונית למערכות המחשוב של ספק הרכב על ידי מתווך גישה ראשוני (IAB) ככל הנראה בדצמבר 2021, אשר ניצל תצורה שגויה של חומת אש כדי לפרוץ את שרת בקר הדומיין באמצעות חיבור Remote Desktop Protocol (RDP). תקרית זו ייחודית בכך שכנופיות כופרה שונות השתמשו באותה נקודת כניסה כדי לתקוף ארגון בודד.
לאחר הפריצה הראשונית, זכו קבוצות ההאקרים LockBit, Hive ו-ALPHV/BlackCat לגישה לרשת המחשוב של הקורבן ב- 20 באפריל, ב- 1 במאי וב- 15 במאי השנה. ב- 1 במאי, הופצו תוכנות כופר של LockBit ו-Hive ברחבי רשת המחשוב של ספק הרכב באמצעות הכלים לגיטימיים PsExec ו- PDQ Deploy בתוך שעתיים וכך הצליחו להצפין כ- 12 מערכות במהלך כל התקפה (קבוצת LockBit גם גנבה נתונים והוציאה אותם לאחסון הענן של Mega cloud storage service).
שבועיים לאחר מכן, ב- 15 במאי, בזמן שצוות ה- IT של ספק הרכב עדיין שיחזר מערכות, התחברה קבוצת האקרים של BlackCat גם היא לאותו שרת שנפגע על ידי LockBit ו- Hive. לאחר התקנת פתרון הגישה מרחוק הלגיטימי של Atera Agent, הם הצליחו לשלוף נתונים של ספק הרכב. תוך חצי שעה הצליחו BlackCat להפעיל כופרה משלהם באמצעות PsExec כדי להצפין שש מכונות ברשת המחשוב של הספק. קבוצת ההאקרים של BlackCat דאגה גם למחוק Shadow Copies ו- Windows Event Logs ובכך הקשתה מאד וסיבכה את ניסיונות שחזור המידע ואת כלל מאמצי התגובה לאירוע הכופר.
בחקירת מתקפת הכופר נמצאו קבצים שהוצפנו שלוש פעמים עם תוכנות כופר של Lockbit, Hive ו- BlackCat וחלק מהקבצים אפילו הוצפנו חמש פעמים.
מומלץ לארגונים לשמור על המערכות שלהם מעודכנות ולבדוק ביסודיות את סביבת המחשוב שלהם לאיתור דלתות אחוריות או חולשות אבטחה. מומלץ לנעול שירותים כמו VNC ו- RDP או פתרונות גישה מרחוק הנגישים מחוץ לארגון. אלו צריכים להיות נגישים דרך VPN ורק באמצעות אימות רב-גורמי (MFA), תוך שימוש בסיסמאות חזקות. יש לפלח רשתות גם על ידי הפרדת שרתים קריטיים לרשתות VLAN ויש לסרוק ולבדוק את הרשת כולה לאיתור התקנים לא מעודכנים או התקנים העלולים להוות חולשות אבטחה למידע הארגון.
