Το ειδικό τμήμα της TicTac που ειδικεύεται στην αποκρυπτογράφηση Ransomware (σύμβουλοι αντιμετώπισης επιθέσεων Ransomware) σημείωσαν μια ακόμα μεγάλη επιτυχία από THT Ransomware σε πολύ γνωστό όμιλο εταιριών της Ελληνικής αγοράς.
Ο συγκεκριμένος όμιλος εταιριών χτυπήθηκε από ένα ιδιαίτερα σοβαρό Ransomware Variant, το THT Ransomware, το οποίο είχε τα παρακάτω χαρακτηριστικά:
- Πριν λίγες ημέρες εισήλθε το κακόβουλο λογισμικό (THT Ransomware) μέσω του Remote Desktop Connection των Windows σε κάθε Windows Server της εταιρίας
- Κρυπτογράφησε όλα τα Volumes κάθε Server του ομίλου, συμπεριλαμβανομένων και των Backup Servers
- Κρυπτογραφήθηκαν συνολικά πάνω από 50 Physical Servers και πάνω από 100 Virtual Machines χωρίς δυνατότητα ανοίγματος των αρχείων
- Παρέλυσε όλο το τεχνικό τμήμα της εταιρίας καθώς δεν υπήρχε δυνατότητα επαναφοράς ούτε Backup αντιγράφων
- Η ομάδα των Hacker ζήτησε λύτρα 16 Bitcoin (περίπου 305.000€)
Οι αρχές και οι σύμβουλοι του ομίλου τους συνέστησαν να μην πληρώσουν τα λύτρα σε Bitcoin και να επαναφέρουν τα συστήματα τους από Backup, κάτι το οποίο ήταν τεχνικά αδύνατο στην κατάσταση που ήταν το IT οικοσύστημα μετά το χτύπημα.
Tο σημείωμα της ομάδας των Hacker και οι απαιτήσεις τους σε Bitcoin
Συγκεκριμένα η ομάδα των Hacker τους άφησε αυτό το σημείωμα:
Hello. Sorry, your company’s server hard drive was encrypted by us.
We use the most complex encryption algorithm (AES256). Only we can decrypt.
Please contact us: m4xroothackerteam@protonmail.com (Please check spam,Avoid missing mail)
Identification code:XXXXXXXXXXXX (Please tell us the identification code) Ransom: Please pay 16 bitcoins. After the payment is successful, we will tell the Password. (If the contact is fast, we will give you a discount.) In order for you to believe in us, we have prepared the test server.Please contact us and we will tell the test server and decrypt the password.
How to buy and pay for Bitcoin: http://www.localbitcoins.com
Or you can google search “How to buy Bitcoin”
If you know other trading websites better. We are a professional hacker team, not a virus. We only take directional attacks. We know everything about your company.If you refuse to pay, we will disclose important documents that we have(file,email,contracts and many more).
We are a reputable organization and definitely not a liar. Our business covers more than 20 countries around the world. There are hundreds of companies that have successfully unlocked.
Μετά από αδυναμία επίλυσης του θέματος με την Microsoft και των συμβούλων της εταιρία του ομίλου, απευθύνθηκαν στην ομάδα μας για περεταίρω συμβουλή.
Οι ενέργειες των Ransomware Consultants της TicTac
To Ransomware αναγνωρίστηκε άμεσα με δείγμα που ήρθε στο εργαστήριο μας από τον όμιλο εταιριών και έγινε Background check για την αξιοπιστία της ομάδας των Hacker.
Δυστυχώς το συγκεκριμένο Variant, το THT Ransomware, το οποίο έχει συνήθως τις εξής επαφές:
- m4xroothackerteam@protonmail.com
- TimisoaraHackerTeam@protonmail.com
δεν είχε διαθέσιμο δημόσια το κλειδί αποκρυπτογράφησης οπότε έπρεπε να χαραχτεί ένα πλάνο αντιμετώπισης το οποίο να οδηγήσει σε μια σύντομη λύση.
Αναζητήθηκε στο Dark Web η αξιοπιστία της ομάδας Hacker και αν είναι συνεπείς ή έχουν κακές αναφορές ή προχωρούν σε περεταίρω απαίτηση λύτρων.
Τέλος παρατηρήθηκε ότι η συγκεκριμένη ομάδα επιτίθεται μόνο σε μεγάλους οργανισμούς και έχει μεγάλη απαίτηση λύτρων καθώς γνωρίζει ακριβώς τι έχει κρυπτογραφήσει.
Ο εξειδικευμένος Διαχειριστής Κρίσεων Ransomware κ. Παναγιώτης Πιέρρος παρευρέθηκε στα γραφεία του ομίλου και σε συνενόηση με τον Οικονομικό Διευθυντή χάραξαν μια συγκεκριμένη πορεία αντιμετώπισης του συμβάντος ώστε να προληφθούν χειρότερες επιμολύνσης και να διατηρηθεί η υπάρχουσα κατάσταση και να κρατηθούν ανοικτά όλα τα ενδεχόμενα.
Η ομάδα αντιμετώπισης Ransomware Decryption (Ransomware Consultants) της TicTac βοήθησε το τεχνικό τμήμα και την οικονομική διεύθυνση της εταιρίας να κινηθούν με στρατηγικό τρόπο, βάσει της πρότερης εμπειρίας της TicTac, ώστε να πάρουν πρόσβαση ξανά στα αρχεία τους.
Μετά από περίπου 50 ώρες στις 04:00 τα ξημερώματα είχε βρεθεί λύση και μέχρι το πρωί είχαν αποκατασταθεί όλα τα συστήματα του ομίλου και είχαν ασφαλιστεί για μελλοντικό περιστατικό.
Μέσα σε περίπου 60 ώρες η ομάδα της TicTac σε συνεργασία με το τεχνικό τμήμα του ομίλου κατάφερε να φέρει εις πέρας την αποστολή της, με εμπλοκή εξειδικευμένων μηχανικών, μείωση του ρίσκου και μείωση του αρχικού κόστους αποκατάστασης.
Ευχαριστούμε για την εμπιστοσύνη που έδειξαν στην ομαδα μας.