Спецпроекты

Малоизвестный шифровальщик на неделю парализовал деятельность Konica Minolta

Малоизвестный шифровальщик RansomEXX, ранее замеченный лишь в одной крупной кибератаке, вывел из строя ИТ-системы Konica Minolta. На восстановление ушла неделя, внятных ответов на вопросы, что происходит, компания не давала.

Что это было

В конце июля 2020 г. технологическому гиганту Konica Minolta пришлось устранять последствия крупной кибератаки, сообщает Bleeping Computer. Компанию атаковали с помощью нового шифровальщика.

30 июля клиенты корпорации начали жаловаться на недоступность сайта Konica Minolta mykmbs.com, через который производится поддержка продуктов корпорации. Сайт не работал почти неделю, при этом представители Konica Minolta так и не давали прямого ответа о причинах сбоя.

Часть продуктов Konica Minolta (например, принтеры) также начала выводить ошибку Service Notification Error, хотя на выполнении их основных функций это никак не сказывалось (ошибка, видимо, была связана с невозможностью отправить телеметрию на серверы Konica Minolta).

konica1600.jpg
После атаки шифровальщика RansomEXX на восстановление ИТ-систем Konica Minolta ушла неделя

В итоге журналистам попала копия сообщения с требованием выкупа, обнаруженная в системах корпорации. После этого стало ясно, что речь идёт об атаке шифровальщика RansomEXX, относительно нового вредоноса, впервые засветившегося в июньских атаках на Департамент транспорта штата Техас.

На ручном приводе

RansomEXX, как и многие другие шифровальщики, ориентированные на атаки на корпоративные ресурсы, управляется в ручном режиме: используя различный инструментарий - как правило, легитимный, - злоумышленники ищут в сети уязвимые устройства и пытаются получить административный доступ к ним, а также к контроллеру домена Windows. Затем запускается шифровальщик, который блокирует файлы по всей сети.

На данный момент атаки RansomEXX, по-видимому, не сопровождаются хищением файлов перед их шифрованием, но это может измениться в любой момент.

«Очевидно, что операции RansomEXX находятся лишь в начальной стадии: атака на Konica Minolta - лишь второй случай, когда данный шифровальщик попадает в новости, - говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Большинство антивирусов сейчас более-менее детектируют этот вредонос. Но по каким-то причинам Konica Minolta это не помогло. Ущерб, по-видимому, нанесён огромный».

Представители Konica Minolta Business Solutions Russia сообщили CNews, что «приведенные в статье факты имеют отношение только к операционной деятельности Konica Minolta North America (США и Канада). Российских клиентов компании, как и ИТ-ресурсы российского подразделения Konica Minolta, данная атака не затронула». Представители российского подразделения компании полагают, что «инцидент незначительный и серьезного ущерба компании не нанес».

Konica Minolta на сегодняшний день производит преимущественно оптическое оборудование (в том числе рентгеновские аппараты), принтеры, копировальные аппараты, МФУ и другие устройства, преимущественно для корпоративных и специализированных сегментов.

Бизнес, связанный с производством фотооборудования был продан Sony в 2006 г.