01/12/25
Американский производитель авиационных и оборонных компонентов ADC Aerospace оказался в центре внимания из-за возможной кибератаки — на подпольном сайте вымогательской группировки Play появилась запись с утверждением о компрометации корпоративных данных и документов клиентов. Об этом пишет Securitylab.
Согласно публикации на ресурсе вымогателей, получен доступ к документации заказчиков, бюджетной и финансовой информации, платёжным ведомостям, идентификационным документам, а также к иной конфиденциальной персональной информации. При этом доказательства в виде образцов файлов не приведены, поэтому достоверность заявлений сейчас проверить нельзя. Подобные анонсы нередко используются как первый сигнал жертве о захвате данных, после чего начинается давление с требованием выплаты выкупа.
Если утечка подтвердится, последствия инцидента могут быть серьёзными для ADC Aerospace. Похищенные данные могут быть выставлены на продажу на теневых площадках, где сведения о подрядчиках оборонного сектора США традиционно пользуются высоким спросом. Дополнительную угрозу представляют платёжные данные сотрудников, содержащие богатый набор персональных идентификаторов, пригодных для кражи личности.
Сочетание финансовой и личной информации открывает широкие возможности для атак социальной инженерии. Злоумышленники получают ресурс для правдоподобного подбора легенд, в том числе при попытках выдать себя за представителей компаний отрасли и получить более глубокий доступ к внутренним системам.
Риски особенно заметны из-за позиции ADC Aerospace в цепочках поставок. Компания поставляет компоненты таким гигантам, как Northrop Grumman, Collins Aerospace, Philips, Honeywell и другим крупным игрокам оборонно-аэрокосмического рынка, что потенциально расширяет круг затронутых контрагентов.
Группировка Play считается одним из наиболее активных вымогательских проектов последних лет. В августе она взяла на себя ответственность за атаку на Jamco Aerospace — поставщика деталей для гражданских и военных самолётов, работающего, среди прочих, с ВМС США, Boeing и Northrop Grumman. Ранее Play приписывалась атака на управление шерифа округа Пало-Альто в Айове и тюрьму строгого режима имени Дональда У. Уайатта в Род-Айленде, а также на облачного провайдера Rackspace, немецкую сеть отелей H-Hotels и французское подразделение BMW.
По данным компании Adlumin, Play стала одной из первых группировок, сделавших ставку на прерывистое шифрование, при котором блокируются только отдельные фрагменты файловой системы. Такой подход ускоряет нарушение работы инфраструктуры и извлечение данных, а затем уже был заимствован другими известными вымогательскими командами, включая ALPHV/BlackCat, DarkBit и BianLian.
