Ο γίγαντας λιανικής πώλησης ηλεκτρονικών MediaMarkt υπέστη ένα ransomware Hive με αρχική ζήτηση λύτρα 240 εκατομμυρία δολάρια, με αποτέλεσμα τα συστήματα πληροφορικής να τερματιστούν και οι λειτουργίες αποθήκευσης να διακοπούν στην Ολλανδία και τη Γερμανία.
Η MediaMarkt είναι η μεγαλύτερη εταιρεία λιανικής πώλησης ηλεκτρονικών ειδών ευρείας κατανάλωσης, με περισσότερα από 1.000 καταστήματα σε 13 χώρες. Η MediaMarkt απασχολεί περίπου 53.000 υπαλλήλους και έχει συνολικές πωλήσεις 20,8 δισ. ευρώ.
Μια επίθεση ransomware Hive
Η MediaMarkt υπέστη επίθεση ransomware αργά το απόγευμα της Κυριακής έως το πρωί της Δευτέρας, η οποία κρυπτογραφούσε διακομιστές και σταθμούς εργασίας και οδήγησε στον τερματισμό λειτουργίας των συστημάτων πληροφορικής για να αποτρέψει την εξάπλωση της επίθεσης.
Η επίθεση επηρέασε πολλά καταστήματα λιανικής σε όλη την Ευρώπη, κυρίως αυτά στην Ολλανδία.
Ενώ οι διαδικτυακές πωλήσεις συνεχίζουν να λειτουργούν όπως αναμένεται, οι ταμειακές μηχανές δεν μπορούν να δεχτούν πιστωτικές κάρτες ή να εκτυπώσουν αποδείξεις στα καταστήματα που επηρεάζονται. Η διακοπή του συστήματος εμποδίζει επίσης τις επιστροφές λόγω της αδυναμίας αναζήτησης προηγούμενων αγορών.
Τα τοπικά μέσα ενημέρωσης αναφέρουν ότι οι εσωτερικές επικοινωνίες της MediaMarkt λένε στους υπαλλήλους να αποφεύγουν τα κρυπτογραφημένα συστήματα και να αποσυνδέουν τις ταμειακές μηχανές από το δίκτυο.
Στιγμιότυπα οθόνης που δημοσιεύτηκαν στο Twitter για εικαζόμενες εσωτερικές επικοινωνίες αναφέρουν ότι 3.100 διακομιστές επηρεάστηκαν από αυτήν την επίθεση.
Η λειτουργία Hive Ransomware επιβεβαιώθηκε ότι βρίσκεται πίσω από την επίθεση και αρχικά απαίτησε ένα τεράστιο, αλλά μη ρεαλιστικό, αίτημα λύτρων 240 εκατομμυρίων δολαρίων για τη λήψη αποκρυπτογραφητή για κρυπτογραφημένα αρχεία.
Οι συμμορίες ransomware συνήθως απαιτούν μεγάλα λύτρα στην αρχή για να αφήσουν χώρο για διαπραγματεύσεις και συνήθως λαμβάνουν ένα ποσό της αρχικής ζήτησης. Ωστόσο, στην επίθεση στο MediaMarkt, το BleepingComputer ενημερώθηκε ότι μειώθηκε σχεδόν αυτόματα σε πολύ χαμηλότερο ποσό.
Αν και δεν είναι σαφές εάν έχουν κλαπεί μη κρυπτογραφημένα δεδομένα ως μέρος της επίθεσης, το Hive ransomware είναι γνωστό ότι κλέβει αρχεία και τα δημοσιεύει στον ιστότοπο διαρροής δεδομένων «HiveLeaks» εάν δεν πληρωθεί σε λύτρα.
Η MediaMarkt ενημέρωσε το κοινό σχετικά με την επίθεση δηλώνοντας:
Το MediaMarktSaturn Retail Group και οι εθνικές του οργανώσεις έγιναν στόχος κυβερνοεπίθεσης. Η εταιρεία ενημέρωσε αμέσως τις αρμόδιες αρχές και εργάζεται ολοταχώς για τον εντοπισμό των επηρεαζόμενων συστημάτων και την αποκατάσταση τυχόν ζημιών που προκλήθηκαν το συντομότερο δυνατό. Στα σταθερά καταστήματα, ενδέχεται να υπάρχει περιορισμένη πρόσβαση σε ορισμένες υπηρεσίες.
Το MediaMarktSaturn συνεχίζει να είναι διαθέσιμο στους πελάτες του μέσω όλων των καναλιών πωλήσεων και εργάζεται εντατικά για να διασφαλίσει ότι όλες οι υπηρεσίες θα είναι ξανά διαθέσιμες χωρίς περιορισμούς το συντομότερο δυνατό.
Η εταιρεία θα παράσχει πληροφορίες για περαιτέρω εξελίξεις στο θέμα. – MediaMarkt.
Τι είναι το Hive ransomware;
Το Hive ransomware είναι μια σχετικά νέα λειτουργία που ξεκίνησε τον Ιούνιο του 2021 και είναι γνωστό ότι παραβιάζει οργανισμούς μέσω καμπανιών ηλεκτρονικού ψαρέματος που συνδέονται με κακόβουλο λογισμικό.
Μόλις αποκτήσουν πρόσβαση σε ένα δίκτυο, οι παράγοντες απειλής θα εξαπλωθούν πλευρικά μέσω ενός δικτύου ενώ κλέβουν μη κρυπτογραφημένα αρχεία για να χρησιμοποιηθούν σε απαιτήσεις εκβιασμού.
Όταν αποκτούν πρόσβαση διαχειριστή σε έναν ελεγκτή τομέα των Windows, αναπτύσσουν το ransomware τους σε όλο το δίκτυο για να κρυπτογραφούν όλες τις συσκευές.
Η συμμορία ransomware είναι γνωστό ότι αναζητά και διαγράφει τυχόν αντίγραφα ασφαλείας για να αποτρέψει τη χρήση τους από το θύμα για την ανάκτηση των δεδομένων του.
Η Hive δημιούργησε επίσης παραλλαγές που χρησιμοποιούνται για την κρυπτογράφηση διακομιστών Linux και FreeBSD, που χρησιμοποιούνται συνήθως για τη φιλοξενία εικονικών μηχανών.
Σε αντίθεση με ορισμένες λειτουργίες ransomware που δεν θα κρυπτογραφούν ιδρύματα υγειονομικής περίθαλψης, γηροκομεία, κυβερνητικές υπηρεσίες και άλλες βασικές υπηρεσίες, το Hive ransomware δεν φαίνεται να ενδιαφέρεται ποιον στοχεύουν.
Τον Αύγουστο, αυτό φάνηκε όταν το Hive ransomware επιτέθηκε στο μη κερδοσκοπικό σύστημα Memorial Health, το οποίο ανάγκασε το προσωπικό να εργαστεί με χάρτινα διαγράμματα και διέκοψε τις προγραμματισμένες χειρουργικές επεμβάσεις.
