25/10/23
Американская энергетическая компания BHI Energy рассказала о том, как хакеры, связанные с вымогательской группировкой Akira проникли в их сети и похитили конфиденциальные данные.
BHI Energy, являющаяся частью Westinghouse Electric, специализируется на предоставлении инженерных услуг и кадровых решений для частных и государственных объектов в секторах нефти и газа, а также в области ядерной, ветровой, солнечной и тепловой генерации.
В уведомлении об утечке данных, разосланном BHI Energy пострадавшим 18 октября, компания предоставила подробную информацию о том, как злоумышленники проникли в сети BHI Energy 30 мая 2023 года и воспользовались вымогательским программным обеспечением Akira. Это передает Securitylab.
Как сообщается, атака началась с использования украденных данных VPN стороннего подрядчика для доступа к внутренней сети BHI Energy. В течение недели после первоначального доступа злоумышленники исследовали внутреннюю сеть компании, чтобы нанести сокрушительный удар позже.
16 июня 2023 года операторы Akira вернулись к сети компании через оставленный бэкдор, чтобы определить, какие данные будут украдены. С 20 по 29 июня злоумышленники украли 767 тыс. файлов общим объёмом 690 ГБ, включая базу данных Active Directory компании.
29 июня, после завершения кражи данных, на все устройства в сети BHI Energy было установлено вымогательское ПО Akira. IT-команда компании обнаружила компрометацию только после этапа шифрования, когда взлом стал очевиден.
После обнаружения инцидента компания немедленно обратилась к правоохранительным органам и привлекла сторонних экспертов для восстановления систем. 7 июля 2023 года сеть BHI была очищена от вредоносного ПО.
Компания сообщила, что специалистам удалось восстановить данные из резервной копии в облаке, не затронутой атакой. Таким образом, оплата выкупа не потребовалась.
В качестве мер безопасности BHI усилила защиту, введя многофакторную аутентификацию для VPN-доступа, проведя глобальное изменение паролей и расширив развёртывание инструментов EDR и AV.
Несмотря на успешное восстановление систем, злоумышленникам удалось украсть персональные данные сотрудников, включая ФИО, дату рождения, номер социального страхования и медицинскую информацию.
На момент публикации данных хакеры Akira ещё не выставили украденную информацию на своём портале в даркнете и пока не анонсировали утечки данных BHI Energy.
Пострадавшие в ходе утечки лица получили бесплатную двухлетнюю защиту от кражи личности в сервисе Experian.
