Хакеры-вымогатели из группировки RansomHub провели крупномасштабную атаку против американской транснациональной нефтесервисной компании Halliburton, в результате чего была серьёзно нарушена работа внутренней ИТ-инфраструктуры и IT-сетей организации. Помимо этого, наблюдаются проблемы в проведении различных бизнес-операций, сообщает издание Bleeping Computer.
По словам экспертов по информационной безопасности, эта кибератака привела к масштабным сбоям в работе всей компании. В частности, клиенты Halliburton не могли формировать счета-фактуры или заказы на закупку, поскольку необходимые системы были отключены. Компания Halliburton раскрыла информацию об атаке в прошлую пятницу в заявлении, поданном в SEC, указав на то, что 21 августа 2024 года компания подверглась кибератаке со стороны неизвестных злоумышленников.
«Когда компания узнала о проблеме, она активировала свой план реагирования на киберугрозы и начала внутреннее расследование при поддержке внешних консультантов для оценки и устранения несанкционированной активности», — уточнили в Halliburton.
В течение нескольких дней ходили слухи о том, что компания Halliburton подверглась атаке вируса-вымогателя RansomHub. Об этом сообщали пользователи на Reddit и на сайте для обсуждения увольнений TheLayoff, где была опубликована частичная записка RansomHub с требованием выкупа.
В электронном письме от 26 августа, отправленном поставщикам и переданном BleepingComputer, компания Halliburton предоставила дополнительную информацию, заявив, что компания отключила системы для их защиты и сотрудничает с Mandiant для расследования инцидента. В компании уточнили, что их системы электронной почты продолжают работать, поскольку они размещены на инфраструктуре Microsoft Azure. Также доступен обходной путь для транзакций и выдачи заказов на покупку.
В этом электронном письме содержится список IOC, содержащий имена файлов и IP-адреса, связанные с атакой, которые клиенты могут использовать для обнаружения подобной активности в своей сети. Один из этих IOC относится к исполняемому файлу Windows с именем maintenance.exe, который, как подтвердила BleepingComputer, является шифровальщиком-вымогателем RansomHub.
После анализа образца выяснилось, что это более новая версия, чем та, которая анализировалась ранее, поскольку она содержит новый аргумент командной строки «-cmd string», который выполнит команду на устройстве перед шифрованием файлов.