Атаковавшие компанию JBS хакеры похитили данные из филиалов в Австралии и Бразилии

Киберпреступная группировка REvil (Sodinokibi), атаковавшая в мае нынешнего года крупнейшего в мире производителя мясных продуктов питания JBS, на протяжении нескольких месяцев похищала данные филиалов пищевого гиганта в Австралии и Бразилии.

По словам специалистов из компании SecurityScorecard, «разведывательная» фаза кибератаки началась в феврале нынешнего года. Исследование основано на нескольких государственных и частных источниках информации, наблюдениях в даркнете и таких исследовательских инструментах, как NetFlow, который отслеживает потоки цифрового трафика.

Представитель JBS USA оспорил выводы экспертов и заявил, что они не сходятся с результатами предварительного расследования, проведенного сторонними экспертами.

«Мы не обнаружили никаких свидетельств хищения данных компании или того, что филиал в Бразилии пострадал от атаки. Расследование продолжается», — пояснила представитель компании Никки Ричардсон (Nikki Richardson).

По словам исследователей, в марте они начали собирать данные о местоположении компании JBS в Австралии. Специалисты выявили в даркнете учетные данные сотрудников австралийского филиала компании прямо перед началом взлома. В ходе расследования SecurityScorecard обнаружила, что трафик TeamViewer направляется на IP-адрес в Индии. Это может означать, что злоумышленник установил TeamViewer в сетевой среде JBS Australia. Это действие произошло в тот же период времени, что и кража данных. Соединение могло использоваться для поддержания доступа к среде. Поскольку TeamViewer поддерживает передачу файлов, некоторые данные также могли быть похищены таким образом.

SecurityScorecard также нашла свидетельства кражи данных у JBS в Бразилии в апреле и мае нынешнего года, однако неизвестно, как и где хакеры взломали сети пищевой компании в Сан-Паоло.

«Как и в других операциях с программами-вымогателями, злоумышленники, вероятно, заинтересованы в краже данных и их возможной публикации в даркнете, если жертва не заплатят. Обычно хакеры похищают данные перед шифрованием файлов, а затем используют их для вымогательства», — пояснили исследователи.

Используя глобальную аналитическую информацию, в том числе Netflow, специалисты обнаружили несколько операций передачи данных из среды JBS с марта 2021 года. Например, на сайт обмена файлами Mega в период с 1 марта по 30 мая 2021 года передано более 45 ГБ данных. Кроме того, передача данных была разделена на десяток меньших операций в течение трех месяцев. В период с 1 марта по 29 мая 2021 года было передано в Гонконг в общей сложности 5 ТБ данных.