Doszło do cyberataku na izraelską firmę Shirbit z branży ubezpieczeniowej, która jest liderem w okręgu — zaufali jej pracownicy rządowi, ich rodziny i emerytowani pracownicy służb cywilnych. Firma Shirbit już w przeszłości wygrywała przetargi rządowe na ubezpieczenie pojazdów oraz pracowników od nieszczęśliwych następstw. Atak i wyciek danych potwierdziła Izraelska Krajowa Dyrekcja ds. Cybernetycznych.
Do cyberataku przyznaje się ugrupowanie Black Shadow. Prawdopodobnie za atakiem stoi ktoś z Iranu (według raportu izraelskich badaczy ds. bezpieczeństwa), z którym państwo Izrael ma bardzo napięte stosunku polityczne.
Cyberatak na Shirbit (firmę ubezpieczeniową)
Dane, które wyciekły obejmują:
- Poufne informacje z dowodów osobistych.
- Poufne informacje z prawa jazdy.
- Dokumenty urzędowe takie jak akt zawarcia związku małżeńskiego.
- Dokumenty finansowe.
- Dane medyczne pracowników.
Izraelska agencja ds. bezpieczeństwa zarekomendowała, aby wszyscy, którzy byli ubezpieczeni w firmie Shirbit, rozważyli wyrobienie nowych dokumentów ze względu na ryzyko kradzieży danych osobowych i kradzież tożsamości.
Raport podaje, że Izrael wiedział o możliwym ataku już od września. Już wtedy zidentyfikowano atakującego jako MuddyWater, który był zainteresowany celami kilkunastu izraelskich organizacjach rządowych. Potwierdzają to dane statystyczne firmy Palo Alto — dostawcy urządzeń do ochrony sieci.
- Złośliwy aktor wykorzystywał socjotechnikę do nakłonienia w kliknięcia w link oraz podatność CVE-2020-0688 w Microsoft Exchange do wdrożenia fałszywej usługi odpowiedzialnej za aktualizowanie przeglądarki Chrome.
- Po zainstalowaniu trojana pobrano ransomware Thanos (aka Hakbit) na urządzenia firmy.
- Ransomware Thanos jest sprzedawane na rosyjskojęzycznych forach hakerskich jako usługa cyberprzestępcza, za którą sprzedający otrzymują 30% od każdego wymuszenia okupu.
Aktorzy zażądali początkowo 1 miliard dolarów okupu w zamian trzymanie wykradzionych danych w tajemnicy.
Drugiego dnia cena wzrosła do 100BTC. Trzeciego do 200BTC (około 4 milionów dolarów!). Hakerzy udostępnili zrzut ekranu przedstawiający negocjacje w komunikatorze WhatsApp między nimi a osobą o nazwisku „Ilia” reprezentującym firmę Shirbit.
Do teraz w portfelu bitcoinowym nie pojawiły się żadne środki pieniężne w kryptowalucie, o których była mowa w okupie. Prawdopodobnie stanowisko firmy Shirbit zostało podtrzymane, a brzmiało ono tak — „nie będziemy współpracować z przestępcami”.
Dodatkowe źródła:
- https://www.bleepingcomputer.com/news/security/blackshadow-hackers-extort-israeli-insurance-company-for-1-million/
- Usunięte konto z GitHub.
- https://www.clearskysec.com/operation-quicksand/
- https://www.blockchain.com/btc/address/13YiK3qHxTdGcD6nfCf7vWXFgWXnbpJvy2
- https://www.timesofisrael.com/hackers-leak-information-after-insurance-company-refuses-to-pay-ransom/
