A Yamaha Motor motorkerékpár-gyártó Fülöp-szigeteki leányvállalatát múlt hónapban ransomware támadás érte, amelynek következtében ellopták és kiszivárogtatták néhány alkalmazott személyes adatait.
A motorkerékpár-gyártó az október 25-i első észlelés után külső biztonsági szakértők segítségével vizsgálta ki az incidenst. A vállalat az incidenst az illetékes Fülöp-szigeteki hatóságoknak is jelentette, és jelenleg a támadás hatásainak teljes körű felmérésén dolgozik.
A Yamaha közölte, hogy a fenyegető szereplők a Yamaha Motor Philippines egyetlen szerverét törték fel, támadásuk nem érintette a központot vagy a Yamaha Motor más leányvállalatát.
Bár a vállalat egyelőre nem tudja a támadást egy konkrét műveletnek tulajdonítani, az INC Ransom csoport vállalta magára a támadást. Felvették a vállalatot a dark webes kiszivárogtató oldalukra, és azóta több, a Yamaha Motor Philippines hálózatából fájlarchívumot is közzétettek, amelyekben nagyjából 37 GB adat található. Többek között alkalmazottak azonosító adatait, biztonsági mentési fájlokat, valamint vállalati és értékesítési információkat tartalmaznak.
Az INC Ransom 2023 augusztusában bukkant fel. A támadások célpontjai különböző szektorok, például az egészségügy, az oktatás és a kormányzat szervezetei voltak. Azóta az INC Ransom 30 áldozatot adott hozzá a szivárogtató weboldalához. A megtámadott szervezetek száma azonban valószínűleg nagyobb, mivel csak azok néznek a nyilvánosságra hozatal és az azt követő adatszivárgások elébe, akik nem hajlandóak kifizetni a váltságdíjat.
A SentinelOne szerint a csoport spearphishing e-maileken keresztül jut hozzá a célpontok hálózatához, de megfigyelték őket a Citrix NetScaler CVE-2023-3519 exploitjainak felhasználásával is. A hozzáférés megszerzése után oldalirányban mozognak a hálózaton, és először érzékeny fájlokat gyűjtenek és töltenek le, majd zsarolóprogramokat telepítenek a megtámadott rendszerek titkosítására. Ezenkívül az INC-README.TXT és INC-README.HTML fájlokat automatikusan elhelyezik a titkosított fájlokat tartalmazó mappákon belül. Az áldozatoknak 72 órás ultimátumot adnak, mielőtt a zsarolóvírus csoport nyilvánosságra hozza az összes ellopott adatot a kiszivárogtató blogjukon. Azok, akik eleget tesznek a váltságdíjkövetelésnek, biztosítékot kapnak arra is, hogy segítenek nekik a fájljaik visszafejtésében. Ezen felül a támadók ígéretet tesznek arra, hogy részleteket szolgáltatnak a kezdeti támadás módszeréről, útmutatást adnak a hálózataik védelmére, bizonyítékot az adatok megsemmisítésére, és “garanciát” arra, hogy az INC Ransom üzemeltetői nem támadják meg őket újra.
