Célpontban az autóipari ellátási lánc
Egy autóipari beszállító rendszereit 2022. májusban két hét alatt három különböző zsarolóvírus csoport is kompromittált és titkosította a vállalat fájljait. A kártékony kibertevékenységek közül kettő két órán belül történt. A vállalat rendszereihez már 2021 decemberében hozzáférést szerzetek a rosszindulatú kiberszereplők. A kettős zsarolóvírus támadások napjainkban már egyre gyakoribbak, azonban ez az első olyan incidens, amely során három különböző ransomware csoport ugyanazt a belépési pontot használta egyetlen szervezet kompromittálására – írja a Sophos X-Ops szerdán közzétett jelentésében. A kezdeti támadást követően a LockBit, a Hive és az ALPHV/BlackCat csoportok 2022. április 20-án, május 1-jén, illetve május 15-én szintén bejutottak az autóipari vállalat hálózatába. Május 1-jén a LockBit és a Hive ransomware-ket a legitim PsExec és PDQ Deploy eszközök segítségével terjesztették a hálózaton. Mivel a Hive támadás 2 órával a Lockbit után kezdődött, a Lockbit ransomware még mindig futott – így mindkét csoport folyamatosan talált olyan fájlokat, amelyeknek a kiterjesztése nem jelezte, hogy titkosítva vannak –tette hozzá a Sophos X-Ops. Két héttel később, 2022. május 15-én, miközben az autóipari beszállító IT-csapata még mindig a rendszerek helyreállításán dolgozott, a BlackCat csoport is hozzáfért ugyanahhoz a szerverhez, amelyet a LockBit és a Hive is megtámadott. Miután telepítették a legitim Atera Agent távoli hozzáférést biztosító programot, tartósan fennmaradtak a hálózaton, és folyamatosan szivárogtatták ki a vállalat adatait.