סיפורה של מתקפת כופר שהסבה מאות מיליוני דולרים הפסד בחברת ביטוח מהגדולות באוסטרליה
איך שרשרת של כשלונות הובילה למתקפת כופר ולהפסדים של מאות מיליוני דולרים באחת מחברות הביטוח הגדולות באוסטרליה.
תשמעו סיפור מעניין…
את מתקפת הסייבר על ענקית ביטוחי הבריאות האוסטרלית Medibank פירסמתי כאן באוקטובר 2022. אז דיווחה החברה על השבתת מערכות מחשוב ודלף מידע רחב בעקבות מתקפת כופר.
כעת, הרשות להגנת המידע באוסטרליה מפרסמת את סיכום תחקיר האירוע ומספרת לנו איך תוקפים הצליחו לחדור לרשת של חברה ששווה מיליארדים בגלל עובד של ספק החברה, סנכרון של סיסמאות בדפדפן, ורשלנות במערך האבטחה של החברה….
מסתבר שהכל התחיל עם עובד של אחד מספקי החברה המעניקים שירותי תמיכה טכנית עבור Medibank.
אותו עובד, שאמנם עשה שימוש במחשב של החברה, הזין נתוני הזדהות של מנהל מערכת למערכות של Medibank תחת הפרופיל האישי שלו בדפדפן.
מאוחר יותר העובד התחבר מהמחשב האישי בבית לאותו פרופיל בדפדפן, וכחלק מנפלאות הדפדפן סיסמת מנהל המערכת שהזין במחשב שבעבודה הסתנכרנה מהפרופיל האישי של המחשב בעבודה לאותו פרופיל אישי במחשב של הבית.
אבל… לצערם של כל המעורבים בסיפור, במחשב האישי של אותו עובד הייתה קיימת נוזקה מסוג Stealer שגונבת את פרטי המשתמש ואת הסיסמאות מהדפדפן ושולחת אותם לתוקף.
אמנם דיווחתי כאן שפרטי ההזדהות ל-Medibank נמכרו לכאורה בטלגרם תמורת 7,000 דולר, אך מהתחקיר עולה כי עוד לא ברור בוודאות אם קבוצת הכופר שפגעה ב-Medibank היא זו שגם הפעילה את הנוזקה לגניבת סיסמאות, או שהיא רכשה את נתוני ההזדהות ממי שהפעיל את הנוזקה, כך או כך קבוצת הכופר החזיקה בסופו של דבר בנתוני ההזדהות שנגנבו מהמחשב האישי של העובד.
התוקפים ניסו להתחבר לרשת ה-VPN של Medibank עם נתוני ההזדהות שגנבו/רכשו, וגילו להפתעתם שהחברה לא אוכפת הזדהות רב שלבית ובעזרת שם משתמש וסיסמה בלבד נפתחה בפניהם גישה של מנהל מערכת (Admin) לכל מערכות החברה.
במשך 10 ימים התוקפים נכנסו ויצאו שוב ושוב מהרשת הארגונית תוך שהם משוטטים ואוספים מידע, מערכת ההגנה (EDR) שהייתה מותקנת בחברה זיהתה פעילות חשודה ושלחה את ההתראות בדוא”ל למי שאמור לנטר התראות אלו.
בפועל, אף גורם לא ביצע ניטור או אסקלציה וההתראות הקריטיות זכו להתעלמות.
במשך כמעט חודשיים(!) התוקפים שאבו מאות ג’יגה של מידע מהרשת של Medibank ושוטטו בין שרתי החברה כאילו הם בעלי הבית, מערכת ה-EDR יצרה התראות אבל אלו לא זכו להתייחסות.
כעבור כמעט חודשיים, צוות הניטור מחליט לבצע בירור לגבי אחת ההתראות שהן קיבלו ממערכת ה-EDR (הללויה!).
תוך זמן קצר הם מבינים שהם באירוע סייבר, מזמינים צוות תגובה ורק כעבור שבוע מבינים את גודל האסון – כל המידע של החברה נמצא בידיים של התוקפים אבל זה כבר מאוחר מדי, דרישת כופר בסך 10 מיליון דולר נשלחת לחברה מהתוקפים.
החברה לא משלמת את דמי הכופר, ובחודשיים שלאחר מכן קבוצת התקיפה פירסמה את המידע שגנבה, כולל מידע רגיש מאד של לקוחות.
מאז המתקפה, דיווחה חברת Medibank כבר על הוצאות ישירות של עשרות מיליוני דולרים, אך ההערכות העדינות הן כי הסכום הכולל יגיע למאות מיליוני דולרים בעקבות תביעות ייצוגיות וכו’…
התחקיר המלא מצ”ב.
קרדיט: ערוץ הטלגרם חדשות סייבר – ארז דסה קרדיט לתמונות: רשתות חברתיות