20/11/23
Toyota Financial Services (TFS), финансовое подразделение всемирно известного автогиганта Toyota, столкнулось с серьёзной киберугрозой. Недавно компания обнаружила следы несанкционированного доступа к своим системам в регионах Европы и Африки. Ответственность за взлом взяла на себя вымогательская группировка Medusa, пишут в Securitylab.
TFS, филиал Toyota Motor Corporation, занимает значимое место на мировом рынке, охватывая примерно 90% территорий, где реализуются автомобили Toyota. Компания предлагает клиентам услуги автофинансирования.
За удаление украденных данных хакеры требуют выкуп в размере 8 миллионов долларов. На решение у Toyota есть 10 дней, но дедлайн можно продлить еще на сутки, заплатив дополнительные 10 тысяч долларов.
Несмотря на угрозы со стороны Medusa, в Toyota Finance не все еще подтвердили факт утечки.
В качестве доказательства злоумышленники разместили на своем сайте образцы данных, включающие финансовые документы, электронные таблицы, хэшированные пароли от корпоративных аккаунтов, учетные данные пользователей, договоры, сканы паспортов, сметы, адреса электронной почты сотрудников и многое другое.
Они также предоставили текстовый документ, в котором отображена иерархическая структура всех данных, включая перечень файлов и папок. Большая часть документов — на немецком языке.
Представитель Toyota заявил журналистам:
«Toyota Financial Services Europe & Africa недавно выявила неавторизованную активность в системах некоторых подразделений. Мы немедленно отключили системы, чтобы снизить риски, а также начали сотрудничество с правоохранительными органами».
Он также утверждает, что в большинстве стран затронутые ресурсы уже функционируют в штатном режиме.
После того как Medusa заявила о взломе TFS, аналитик Кевин Бомонт отметил, что в инфраструктуре немецкого подразделения TFS была открытая точка доступа Citrix Gateway, которую не обновляли с августа 2023 года. Это означает, что системы компании были подвержены известной критической уязвимости Citrix Bleed (CVE-2023-4966).
Недавно специалисты подтвердили, что группа вымогателей Lockbit использовала общедоступные эксплойты для Citrix Bleed, чтобы атаковать такие организации, как Промышленно-коммерческий банк Китая (ICBC), DP World, Allen & Overy и Boeing.
Есть основания полагать, что примеру Lockbit последовали другие группировки, поэтому риск эксплуатации Citrix Bleed в ближайшее время будет нарастать, охватывая тысячи потенциальных жертв по всему миру.
