Хакеры “взяли в заложники” данные ведущего производителя фототехники

Схема работы мошенников проста и изящна. Они проникают в целевую сеть и начинают сбор данных, попадающих под критерии значимости. Параллельно хакеры пытаются получить доступ к серверу домена. Если это удается, то на следующем этапе все файлы на доступных компьютерах в сети зашифровываются. Далее организации-жертве предлагают заплатить некую (весьма солидную) сумму в биткоинах чтобы с помощью уникального ключа восстановить документы. В случае, если в течение определенного времени выкуп не выплачивается, киберпреступники начинают «сливать» найденный ранее компромат — корпоративную переписку, документы для внутреннего пользования и коммерческие тайны.

На подозрительное поведение ресурсов компании Canon обратили внимание сотрудники издания Bleeping Computer — сайт для хранения и обмена фотографиями или видео image. canon практически не работал в течение пяти дней с 30 июля по 5 августа. Позднее на главной странице портала появилось сообщение, суть которого сводилась к тому, что произошли некие технические неполадки. Для расследования их причин и устранения последствий пришлось отключить один из основных сервисов, к тому же было потеряно некоторое количество пользовательских файлов. Тем не менее, утечки данных не произошло и сейчас все работает штатно.

Журналисты обратились в Canon за комментариями, но сначала ничего нового им не ответили. Однако спустя некоторое время с ними связался работающий в компании источник и поделился рядом косвенных доказательств взлома: скриншотом сообщения от команды внутренней IT-поддержки, а также «запиской» от хакеров с требованием выкупа. Одновременно с этим выяснилось, что частично или полностью был недоступен функционал сразу нескольких внешних сайтов бренда, включая портал canonusa.com.

Авторам статьи в Bleeping Computer удалось связаться с представителями хакерской группировки Maze, контакты которой были указаны в требованиях выкупа. Они подтвердили факт атаки, кражу десяти терабайт данных и рассказали о некоторых деталях своей работы. Тем не менее, подтвердить каким-либо способом наличие у них файлов с компьютеров обворованной компании злоумышленники отказались, а также не стали делиться подробностями о размере выкупа, статусе его выплаты и количестве зашифрованных компьютеров.