Najveći američki internet provajder, WideOpenWest (WOW!), navodno je kompromitovan od strane Arkana Security, nedavno otkrivene grupe ransomware-a.
Napad, koji istraživači sigurnosti prate do infekcije infostealerom od septembra 2024. godine, navodno je kompromitovao preko 403.000 korisničkih naloga i omogućio napadačima kontrolu nad kritičnim pozadinskim sistemima.
Čini se da je ovo Arkanina prva velika tvrdnja o žrtvama, zbog čega je njihova očita tehnička sofisticiranost posebno vrijedna pažnje.
“Vidimo da se grupe ransomware-a pojavljuju cijelo vrijeme, rijetko kada naprave ovakav eksplozivni uticaj odmah iza kapije,” podijelio je vx-underground na X.
Kompromitovane platforme
Hakeri tvrde da su stekli potpunu kontrolu nad infrastrukturom WOW! putem kompromisa dvije ključne platforme: AppianCloud i Symphonica.
Ovi sistemi su kritični za WOW! poslovne operacije, sa Symphonica koja upravlja upravljanjem korisničkim računima i AppianCloudom koji upravlja poslovnim procesima:
Akreditivi za ove sisteme su prikupljeni sa uređaja zaposlenog koji je zaražen malverom infokradova mjesecima prije stvarnog postavljanja ransomware-a.
Arkana je kreirala muzički video montažu pokazujući njihov nivo pristupa WOW! sistemima.
Video je otkrio sposobnost grupe da potencijalno manipulira mrežnim konfiguracijama, korisničkim podacima i logikom serverskog koda. Stručnjaci za sigurnost sugerišu da ovo ukazuje na nedostatak višefaktorske autentifikacije (MFA) i pravilne segmentacije mreže.
Izloženi podaci o klijentima
Hakeri tvrde da su eksfiltrirali dvije baze podataka koje sadrže:
- Podaci za identifikaciju korisnika (uključujući korisnička imena i lozinke sa solju).
- Sigurnosna pitanja i odgovori.
- Email adrese.
- Detalji Firebase autentikacije.
- Informacije o statusu računa.
- Istorija prijavljivanja.
- Informacije o paketu usluga.
Drugi fajl navodno sadrži 2,2 miliona zapisa sa imenima, brojevima telefona, adresama i informacijama o uređaju.
Kako bi dokazala svoj pristup, grupa je također objavila lične podatke koji navodno pripadaju WOW! CEO Teresa L. Elder, uključujući kontakt podatke i njen broj socijalnog osiguranja.
“Ako ne platite, kršenje će biti javno. Vaša infrastruktura je potpuna katastrofa, vaša sigurnost ne postoji”, zaprijetila je grupa na svom mjestu curenja.
Izvor: CyberSecurityNews
