Canon подверглась атаке вируса-вымогателя, сервисы компании частично восстановлены, потеряна часть архивов пользователей +8





В конце июля 2020 года американское подразделение компании Canon подверглось атаке программы-вымогателя. Из-за инцидента стали недоступны внутренние и пользовательские сервисы компании, включая корпоративную электронную почту Canon, сервис Microsoft Teams, веб-сайт компании, мобильное приложение и облачное хранилище пользовательских изображений image.canon.

IT-специалисты Canon смогли справиться с ситуацией в течение шести суток и еще продолжают работы. 4 августа 2020 года почти все сервисы внутри компании были восстановлены. Однако в процессе проведения работ из-за сбоя была утеряна часть фотографий и видео, которые были размещены в бесплатном облачном хранилище пользователей. Сейчас там доступны только эскизы удаленных файлов. Представители Canon не уточнили причину проблемы и пояснили, что утечки данных изображений пользователей не было.

Журналисты издания BleepingComputer получили информацию от неназванных сотрудников Canon, что проблема является более серьезной, чем написано в официальном сообщении, и затронула потерю или утечку около 10 ТБ данных компании. Вероятно, это была атака вируса-вымогателя Maze Ransomware.

Maze Ransomware — это программа-вымогатель, которая взламывает и незаметно распространяется по сети предприятия, пока не получит доступ к учетной записи администратора и системному контроллеру домена Windows. Одновременно с этим Maze Ransomware крадет незашифрованные файлы с серверов компании, загружая их на серверы злоумышленников. Как только хакеры получают доступ к контроллеру домена, все устройства в сети блокируются программой-вымогателем, пока жертва не заплатит выкуп.

Издание связалось с представителями хакерской группировки Maze, которые рассказали, что действительно получили доступ внутрь сети компании и скачали 10 ТБ данных, включая несколько баз данных, хранящихся на серверах Canon. Хакеры пояснили, что зашифровали украденные данные и их резервные копии и выслали Canon инструкцию по оплате выкупа и доступу к похищенным данным. Если компания Canon не примет их предложение, то, Maze планирует опубликовать похищенные данные Canon в открытом доступе.

С 30 июля по настоящее время не доступны некоторые страницы на сайте компании.



Сервисы и домены, которые до сих пор не доступны из-за инцидента в Canon:

  • (www).canonusa.com;
  • (www).canonbroadcast.com;
  • b2cweb.usa.canon.com;
  • canondv.com;
  • canobeam.com;
  • canoneos.com;
  • bjc8200.com;
  • canonhdec.com;
  • bjc8500.com;
  • usa.canon.com;
  • imagerunner.com;
  • multispot.com;
  • canoncamerashop.com;
  • canoncctv.com;
  • canonhelp.com;
  • bjc-8500.com;
  • canonbroadcast.com;
  • imageland.net;
  • consumer.usa.canon.com;
  • bjc-8200.com;
  • bjc3000.com;
  • downloadlibrary.usa.canon.com;
  • (www).cusa.canon.com;
  • (www).canondv.com.

В настоящее время специалисты Canon продолжают расследование и локализацию инцидента. Компания отказалась предоставить дополнительную информацию об атаке.

Ранее 24 июля 2020 года отключились сервисы Garmin Connect для носимой электроники Garmin. Не работали сайт Garmin.com, колл-центр компании, онлайн-чат и даже часть производственной линии в Тайване. Вину возложили на шифровальщик WastedLocker. В самой компании подтвердили факт инцидента, но не раскрыли его детали. Специалисты Garmin несколько суток занимались восстановлением IT-инфраструктуры компании.

1 августа 2020 года стало известно, что Garmin все же купила у хакеров ключ для расшифровки файлов после масштабной атаки вируса-вымогателя WastedLocker на сервисы компании.
См. также:




Комментарии (20):

  1. v1000
    /#21928166

    Компании экономят на админах и информационной безопасности своих данных, чтобы на сэкономленные деньги выкупать свои-же данные.

  2. stalinets
    /#21928200

    Почему не прописать законодательный запрет платить мошенникам в таких случаях? Разоряйся, строй инфраструктуру с нуля, но платить не можешь. Интересно пофантазировать, как будет, если такой закон примут, скажем, в юрисдикциях США и Евросоюза?

    • Neusser
      /#21928244

      Кому поможет такой закон?

      • StingerFG
        /#21928380

        Пользователям. Компании начнут нанимать персонал и строить инфраструктуру для сохранения данных. Сейчас же всё держится на честном слове.

        • lubezniy
          /#21928480

          Не поможет, скорее всего. Законодательство об ответственности за вымогательство уже есть, но преступников оно не останавливает. Также и такой закон не остановит тех, кто желает спасти профуканные данные подешевле.

        • Neusser
          /#21928548

          Чтобы компании начали нанимать персонал и строить инфраструктуру нужен закон о найме персонала и строительстве инфраструктуры. Да и и то не факт, что поможет.

      • Seekeer
        /#21928652

        А кому помогла израильский закон не выполнять требования террористов?
        Подсказка — Израилю.

        • Neusser
          /#21928736

          Вы не видите разницы между «государство приняло закон для самого себя и выполняет его» и «государство приняло закон для частных компаний и… что?» Ну наймет тот же кэнон фирмочку с Бермудских островов по статье «IT-услуги» и заплатит через три угла. Что изменится-то?

    • willyd
      /#21928406

      Так компании сами и не платят. Они не могут просто указать в отчетности 5 миллионов на выкуп. Появились отдельные компании, часть из них специализируется на расшифровке данных, другая — на переговорах об оплате. В отчетах это все проходит как «аудит ИТ-безопасности и консалтинг».
      Но скорее всего, что в ближайшее время, крупные компании начнут что-то предпринимать со своей безопасностью. Поскольку, кроме оплаты выкупа, есть еще репутационные потери. В случае с кеноном они уже очень серьезные.

      • lubezniy
        /#21928436

        Платят. Только, возможно, обходными путями.

      • imanushin
        /#21928660

        Поскольку, кроме оплаты выкупа, есть еще репутационные потери.

        А они есть на самом деле? Мне казалось, что менеджеры среднего звена будут только рады подобному событию, так как на него можно многое списать, все просрочки и так далее. Безопасники тоже рады: они работали строго по бумажке, не нарушали закон, а теперь можно еще бюджет побольше выпросить.


        А "спасатели" компании вообще обеспечили себе и премию, и повышение.


        Снаружи же мы получили:


        • Еще одно упоминание компании в новостях (что, зачастую, скорее плюс)
        • Обыватель скорее пожалеет компанию, что "им пришлось с таким столкнуться"
        • На почве разбирательств немало людей даст еще интервью в стиле "вести с полей", заодно попиарятся на этом.

    • DrGluck07
      /#21928462

      Тогда ставки ещё больше вырастут. Да и как вообще это проконтролировать?

    • mig126
      /#21928642

      Да как с террористами.

    • Mantrius
      /#21928662

      Предполагаю, что будет много головной боли бухгалтерии, которой придется маскировать выплаты в отчетности.

      • tvr
        /#21928706

        Какая-такая головная боль?
        Бухгалтерия это вам не арифметика, а магия, и там возможно всё, вопрос лишь в мотивации и возможных издержках.

    • /#21928716

      Тогда атаки станут дороже (так как защита будет лучше), но если атака удастся, тогда компания может получить слишком большой урон (всё же нельзя полностью защититься от атак)

  3. podde
    /#21928508

    проблема была достаточно серьезная, чем написано в официальном сообщении

  4. Tyusha
    /#21928538 / +1

    Главное правильно расставить акценты в пресс-релизе: волноваться не чем:


    утечки данных изображений пользователей не было

    Про то, что их теперь просто нет, сообщать не обязательно.