Gangue de ransomware roubou dados de clientes, confirma Arnold Clark

Criminosos despejam dados de clientes privados e corporativos de gigante automobilística europeia.

Foi um Natal sombrio na Grã-Bretanha para várias organizações que foram atingidas por ransomware. Infelizmente para alguns deles, o quadro vem piorando.

O varejista de automóveis Arnold Clark, em uma atualização para os clientes, agora relata que os invasores que usam ransomware que o atingiram durante as férias não apenas bloquearam os sistemas criptográficos; eles também roubaram dados.

Quando os invasores se infiltraram pela primeira vez na rede de Arnold Clark, ainda não foi divulgado publicamente. Mas na noite de sexta-feira, 23 de dezembro, “nossos consultores de rede de segurança externos nos alertaram sobre atividades incomuns em nossa rede e imediatamente tomamos medidas para minimizar o impacto do ataque removendo todas as conexões externas de nossa rede para proteger nossos clientes. dados, parceiros terceirizados e nossos sistemas”, diz.

Na Arnold Clarke, com sede em Glasgow, que é um dos maiores grupos de revendedores de automóveis da Europa – empregando 11.000 pessoas e vendendo mais de 300.000 carros anualmente – os investigadores que investigam a violação inicialmente não encontraram evidências de que os invasores tivessem exfiltrado dados. Em 3 de janeiro, a empresa disse: “Nossos parceiros externos de segurança estão conduzindo uma extensa auditoria de toda a nossa rede e infraestrutura de TI, o que é uma tarefa gigantesca”, e que reativaria cada parte somente após a confirmação de que seguro.

A imagem mudou desde então. “Embora inicialmente tenhamos sido informados de que todos os nossos dados estavam seguros, infelizmente, no decorrer de nossa investigação, ficou claro que, durante esse incidente, os invasores conseguiram roubar cópias de alguns dados que mantemos”, informou a empresa em uma notificação de violação atualizada emitida no sábado.

A empresa contatou diretamente “nossos clientes afetados e potencialmente afetados” de suas quase 200 concessionárias na Escócia e na Inglaterra com o alerta de violação atualizado na terça-feira. Além de vender carros e vans, a empresa também presta serviços e aluga veículos e peças.

“Vale a pena notar que os consultores de rede externos de Arnold Clark detectaram o ataque devido a um comportamento incomum na rede de Arnold Clark”, diz Brian Honan, que dirige a consultoria de cibersegurança BH Consulting, com sede em Dublin. “É animador ver isso, e Arnold Clark deve ser elogiado por ter esses recursos em vigor.”

Mas a empresa diz que ainda não sabe a extensão total dos dados que podem ter sido roubados. “É extremamente difícil identificar com precisão o que foi roubado; no entanto, nossas equipes estão trabalhando com nossos consultores externos para entender a natureza exata e a extensão desses dados”.

“É lamentável que Arnold Clark não possa determinar quais dados foram exfiltrados, mas isso pode ser devido a vários motivos, como os dados foram exfiltrados usando credenciais roubadas válidas, de modo que o comportamento pode ter parecido normal ou o registro nos sistemas em que os dados foram exfiltrated não era abrangente o suficiente”, diz Honan, que também fundou a primeira equipe de resposta a incidentes de segurança de computadores da Irlanda, IRISS-CERT, e ajuda regularmente as organizações a responder a incidentes.

Linha do tempo do ataque

Arnold Clark pode ter descoberto que os dados foram roubados porque os invasores os vazaram. A empresa não respondeu imediatamente a um pedido de comentário.

Em 11 de janeiro, o grupo Play – também conhecido como PlayCrypt – ransomware adicionou Arnold Clark à sua lista de vítimas de violação de dados. O grupo é um dos vários sindicatos criminosos que divulgam algumas vítimas que não pagam rapidamente um resgate, além de praticar dupla extorsão, o que significa que eles ameaçam vazar dados roubados, sejam eles realmente roubados ou não.

A intenção é psicológica: os criminosos esperam exercer pressão sobre a vítima para que pague e, se ela não pagar, mostrar às futuras vítimas as repercussões de não pagar.

Em sua lista de vítimas de 11 de janeiro para a gigante das concessionárias de automóveis, a Play vazou o que disse ser 15 gigabytes de dados roubados, acrescentando em inglês instável: “se não houver reação, o despejo completo será carregado”.

Em 17 de janeiro, o Play vazou um arquivo de 467 gigabytes que diz conter “dados pessoais e privados, passaportes, identidades, contratos confidenciais, acordos, contratos de leasing, informações financeiras e muitos outros” roubados de Arnold Clark.

Em termos de dados privados e pessoais, de acordo com a imprensa, o vazamento incluiu nomes de clientes particulares e corporativos, endereços de e-mail, datas de nascimento, números de telefone e outras informações. Como a informação vazou publicamente, ela poderia ser usada por qualquer criminoso para tentar manipular ou extorquir vítimas socialmente.

Lições aprendidas

Arnold Clark não comentou imediatamente se pagou algum resgate, mas parece que não, já que ainda está listado no site do Play.

A empresa pediu desculpas a clientes e parceiros de negócios pelo ataque. Ele também prometeu compartilhar lições adicionais aprendidas com o ataque para ajudar outras pessoas e diz que está tomando medidas para bloquear sua infraestrutura.

“Como resultado deste incidente, tomamos a decisão de reconstruir nossas redes em um novo ambiente segregado, o que significa que nossos sistemas operacionais ainda não estão totalmente funcionais, por isso pedimos desculpas por qualquer inconveniente que isso possa causar aos nossos clientes”, afirmou. diz.

A empresa diz que fornecerá a todos os clientes afetados ou potencialmente afetados 24 meses de serviços de monitoramento de crédito via Experian e diz que a empresa de monitoramento de crédito está estabelecendo um call center dedicado com mais informações.

“É bom ver Arnold Clark adotar uma abordagem de lições aprendidas para esse incidente, implementando medidas como segmentação de rede para melhorar sua segurança”, diz Honan. “Costumo dizer: não deixe que uma violação cibernética seja desperdiçada. Use-a para aprender lições… do infortúnio de outra pessoa, para que você possa melhorar sua própria segurança.”

Fonte: https://www.bankinfosecurity.com/