Атака на ресурсы FujiFilm вынудила компанию приостановить некоторые операции. 4 июня корпорация сообщила, что при атаке использовался шифровальщик, но не уточнила, какой именно. Сторонние эксперты считают, что речь идёт о троянце Qbot и шифровальщике REvil.
Что ещё это могло быть
Корпорация FujiFilm вынужденно приостановила функционирование части своих корпоративных сетей вследствие кибератаки. Подробностей об этой атаке немного, но, по некоторым сведениям, речь идёт о шифровальщике REvil.
2 июня 2021 г. FujiFilm выпустила краткое заявление о незаконном проникновении на сервер корпорации со стороны «иностранных злоумышленников». 4 июня было опубликовано новое сообщение, где указывалось, что в атаке действительно использовался шифровальщик.
«Корпорация FujiFilm проводит расследование возможного незаконного проникновения на сервер извне. В рамках этого расследования, корпоративная сеть компании частично выключена и изолирована от любых внешних соединений», — говорилось в заявлении.
Последствия атаки имели глобальный характер: FujiFilm пришлось отключать значительные сегменты своей сети по всему миру. Перестали работать электронная почта, биллинговая система и ряд других.
Qbot + REvil
Эксперт по кибербезопасности компании Advanced Intel Виталий Кремец заявил изданию BleepingComputer, что FujiFilm атакована троянцем Qbot, операторы которого в настоящее время тесно сотрудничают с печально известной русскоязычной группировкой REvil. Qbot обеспечивает скрытый доступ ко внутренним ресурсам атакованных компаний. Операторы REvil затем стараются захватить аккаунт доменного администратора Windows и скомпрометировать максимальное количество систем. Следом выводятся ценные данные, а затем активируется шифровальщик. Жертве выставляется двойной «счёт»: за ключ дешифрования и за возвращение украденных данных.
Если выкуп не выплачен, данные жертв выкладываются на сайт для «сливов» — если он имеется у данной группировке. Если FujiFilm не станет платить, очень быстро выяснится, кто именно стоял за атакой на корпорацию. Впрочем, некоторые эксперты подозревают, что в случае с FujiFilm публикация украденных данных может и не состояться.
«Некоторые масштабные атаки стали выходить злоумышленникам боком, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — После атаки на Colonial Pipeline, операторы шифровальной группировки DarkSide, по-видимому, сами испугались реакции со стороны правоохранительных органов США и свернули деятельность; REvil «отличились» атакой на американского производителя пищевых продуктов JBS, что привело к временной остановке производство, после чего власти США заявили, что рассматривают возможность приравнять подобные атаки к террористическим актам, а это — совсем иной уровень расследования и последствий. Сами операторы REvil уже заявили, что JBS атаковали «случайно», — целились, мол, в бразильские компании. Вполне вероятно, что теперь большая часть подобных группировок перейдут к более скрытному ведению своих операций. К добру или к худу».
FujiFilm известна главным образом как производитель фототехники, однако на самом деле ареал её деятельности включает также медицинское оборудование, биотехнологии, химические технологии и другие области. Какое количество дочерних специализированных подразделений затронула атака, остаётся пока неизвестным.
Международные ресурсы FujiFilm работают в штатном режиме.