Среди жертв шифровальщика Maze оказался аэрокосмический и военный подрядчики, в том числе фирма, занимающаяся поставками компонентов баллистических ракет США.
«Сами виноваты»
Операторы шифровальщика Maze успешно атаковали сразу две компании, выступающие в роли подрядчиков для гражданских и военных аэрокосмических структур США.
Первой пострадавшей оказалась фирма VT San Antonio Aerospace. Как пишет Bleeping Computer, это одна из ведущих американских фирм, занимающихся ремонтом, обслуживанием и модернизацией гражданских воздушных судов. Среди ее клиентов — авиакомпании в 100 странах мира, а количество ее сотрудников превышает 23 тыс. человек. Подразделения компании присутствуют в Азии, Европе, на Ближнем Востоке и в США.
Вторая атакованная компания — это Westech, фирма, занимающаяся в том числе поставками и обслуживанием критических компонентов американских межконтинентальных баллистических ракет LGM-30G Minuteman III с ядерным зарядом.
В обоих случаях злоумышленники скомпрометировали локальные сети пострадавших компаний, вывели оттуда различные данные, а затем все, до чего смогла дотянуться вредоносная программа, оказалось зашифрованным.
Документы утекли серьезные
В случае с VT San Antonio Aerospace были зашифрованы серверы компании. Операторы Maze заявили, что похитили 1,5 терабайта различных файлов, пообещав, что те будут опубликованы, если компания не заплатит выкуп. Около 100 документов из числа похищенных уже опубликованы — в основном финансовая документация, контракты по страхованию кибербезопасности, деловые предложения и договоры о неразглашении с истекшим сроком действия.
Операторы Maze утверждают, что в документации содержатся свидетельства тому, что головная компания VT San Antonio Aerospace — ST Engineering — финансово поддерживает различные группировки в странах Латинской Америки и СНГ. Впрочем, доказательств этому пока никаких не представлено.
Что касается страховых контрактов по кибербезопасности, то партнером VT SAA является фирма Chubb, которую группировка Maze атаковала в марте 2020 г. На серверы Chubb Citrix ADC, как оказалось, не были установлены обновления против уязвимости CVE-2019-19871, хотя сама компания утверждала, что ее сети не были скомпрометированы.
Что касается VT SAA, то, как сообщает Bleeping Computer, операторам Maze удалось скомпрометировать административный аккаунт, затем взломать аккаунт доменного администратора и добраться уже до контроллеров домена, серверов интранета и файловых серверов в двух доменах. Эта атака также случилась в марте 2020 г.
По утверждению представителей VT SAA, затронутыми оказалась только «ограниченная часть коммерческих операций» ST Engineering в США.
Атака на Westech, в свою очередь, привела к утечке некоторой документации. Пока неизвестно, были ли среди них секретные военные сведения, но часть данных, уже опубликованных злоумышленниками, свидетельствует, что они получили доступ к весьма существенным сведениям, включая почтовые адреса и платежные ведомости, пишет Security Affairs.
О технических обстоятельствах атаки информации пока нет, представители Westech заявили, что эксперты пытаются установить, какие именно данные были похищены, и что в целом расследование продолжается.
«Операторы Maze в последнее время чрезвычайно активны и, судя по всему, успешны, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Впрочем, до атак такого уровня до сих пор дело не доходило. Приходится признать, что подобные атаки на военных подрядчиков где бы то ни было — это ощутимая угроза для всего мира. Но ответственность за них лежит на “жертвах” в не меньшей степени, чем на киберпреступниках».