facebook LinkedIN LinkedIN - follow

Společnost CWT zaplatila hackerům, kteří jí ukradli data a zablokovali 30 tisíc počítačů

hackerOdborníci neustále varují před hrozbou ransomware a vyzývají podniky a organizace, aby investovaly do zabezpečení a zálohování dat. V případě, že k napadení přesto dojde, pak doporučují naplatit výkupné, které jen zločince motivuje k dalším útokům. Přesto americká společnost CWT, specializující se na globální služby v oblasti cestovního ruchu, zaplatila 4,5 milionu dolarů výkupného hackerům. Útočníci za pomoci ransomwaru totiž odcizili množství citlivých dat z firemního systému a zablokovali na 30 tisíc počítačů.



Po nedávném útoku na společnost Garmin je tu další kybernetický incident, který zasáhl firmu světového významu. Americký gigant CWT, poskytující komplexní služby v oblasti cestovního ruchu a právního poradenství, byl napaden ransomwarem Ragnar Locker. Útočníci požadovali výkupné ve výši 10 milionů USD, ale nakonec společnosti poskytli slevu za rychlé jednání. Stalo se tak přesně to, před čím experti na kybernetickou bezpečnost opakovaně varují.

Na útoku na CWT je zajímavé především to, že se nejednalo pouze o zašifrování dat, která by mohla být obnovena ze zálohy, a zablokování na 30 000 stanic. Především došlo k odcizení až 2 TB dat včetně finančních zpráv, osobních údajů o zaměstnancích a důvěrných informacích o klientech. Stejný ransomware byl již dříve použit při obdobných útocích, například na portugalskou energetickou společnost Energias de Portugal. 

David Pecl
David Pecl, AEC

„Stále častěji se setkáváme s tím, že útočníkům už nejde jen o pouhé zašifrování dat,“ říká k tomu David Pecl, Senior Security Specialist společnosti AEC, a upřesňuje: „Aktuálním trendem je snaha o odcizení těch nejcitlivějších údajů, jejichž zveřejnění může mít jak finanční dopad, tak fatální vliv na pověst společnosti.“ 

Proto se společnost CWT s největší pravděpodobností rozhodla výkupné obratem zaplatit, což dokazuje příchozí platba 4,5 milionu USD na bitcoinovou peněženku. Ta byla zmíněna v instrukcích zanechaných útočníky v napadených systémech. Podle dostupných informací došlo k okamžitému vyjednávání mezi pověřenými představiteli CWT a útočníky. Ze zveřejněné komunikace je zřejmé, že díky ochotě firmy a rychlému sjednání „obchodu“ poskytli útočníci napadené společnosti „slevu“.

Ransomware Ragnar Locker je zajímavý tím, jakým způsobem provádí šifrování souborů na napadeném systému. Nejdříve vyhledá veškeré lokálně připojené disky a následně si sám nainstaluje Oracle VirtualBox. V něm pak vytvoří virtuální systém s Windows XP a do něj namapuje lokální disky, které si našel v první části útoku. Šifrování ransomwarem následně probíhá z tohoto virtuálního systému.