Крупная британская фирма Southern Water, отвечающая за водоснабжение и водоотведение на юге Англии, включая графства Гэмпшир, остров Уайт, Западный и Восточный Сассекс, а также часть Кента, подверглась кибератаке.
24 января 2024 года хакерская группировка Black Basta опубликовала на своем сайте заявление о взломе
компьютерных сетей Southern Water и хищении конфиденциальных данных объемом 750 гигабайт. Среди похищенной информации — персональные документы сотрудников (паспорта и удостоверения личности), а также внутренние корпоративные сведения.
Злоумышленники пригрозили обнародовать украденные данные 29 февраля, если не получат от компании выкуп. Сумма выкупа пока неизвестна. В качестве доказательства взлома хакеры опубликовали скриншоты некоторых похищенных файлов.
Black Basta специализируется на вымогательстве и шантаже. Она действует с апреля 2022 года и атакует крупные компании по всему миру. За это время, по оценкам экспертов из Elliptic и Corvus Insurance, преступники заработали более 107 миллионов долларов в биткоинах, взломав не менее 329 организаций, среди которых корпорации ABB, Capita, Dish Network и Rheinmetall.
Группировка использует модель двойного вымогательства: сначала шифрует данные жертвы, а затем, в случае отказа платить, публикует часть украденных сведений. Анализируя транзакции в блокчейне Bitcoin, эксперты установили тесную связь Black Basta с расформированной в 2022 году хакерской группой Conti. Предположительно, Black Basta — всего лишь ребрендинг.
Основным каналом отмывания похищенных средств для Black Basta служит криптобиржа Garantex. Именно через нее хакеры конвертируют биткоины в фиатные деньги.
В декабре 2023 года исследователи из SRLabs провели детальный анализ алгоритма шифрования, который использует Black Basta. В нем был обнаружен существенный недостаток, позволяющий восстанавливать зашифрованные файлы при определенных условиях.
В зависимости от размера файла вирус кодирует только первые 5 тыс. байт. Файлы меньшего размера восстановить невозможно. Но материалы от 5 тыс. до 1 Гб можно расшифровать полностью, если известны 64 байта открытого текста в определенном фрагменте.
На основе этой информации были созданы специальные утилиты, позволяющие жертвам восстанавливать зашифрованную информацию, если атака произошла до декабря 2023 года. К сожалению, вскоре после публикации исследования хакеры исправили уязвимость в своем вирусе.
Инцидент с Southern Water стал первой громкой атакой Black Basta в 2024 году, с использованием уже модифицированной версии вредоносного ПО. Теперь компании предстоит принять непростое решение — пойти на поводу у вымогателей или попытаться найти альтернативный выход из сложившейся ситуации. Исход этого инцидента покажет, насколько эффективны усовершенствованные инструменты Black Basta.
Источник: SecurityLab