لمن لا يعرف ذلك، Askul هي شركة تجارة إلكترونية يابانية كبيرة متخصصة في اللوازم المكتبية والخدمات اللوجستية بين الشركات وبين الشركات والمستهلكين، مملوكة لشركة Yahoo!
تسببت حادثة برامج الفدية في أكتوبر في فشل نظام تكنولوجيا المعلومات، مما أجبر الشركة على تعليق الشحنات للعملاء، بما في ذلك عملاق التجزئة الموجي.
وقد انتهت الآن التحقيقات في نطاق الحادث وتأثيره، ويقول أسكول إن الأنواع التالية من البيانات تعرضت للاختراق:
- بيانات خدمة عملاء الأعمال: حوالي 590,000 سجل
- بيانات خدمة العملاء الفردية: حوالي 132000 سجل
- الشركاء التجاريون (الموردون الخارجيون، الوكلاء، الموردون): ما يقرب من 15000 سجل
- المديرون التنفيذيون والموظفون (بما في ذلك شركات المجموعة): ما يقرب من 2700 سجل
كما أبلغت الشركة لجنة حماية المعلومات الشخصية في البلاد بشأن الكشف عن البيانات وأنشأت مراقبة طويلة الأمد لمنع إساءة استخدام المعلومات المسروقة.
في هذه الأثناء، اعتبارا من 15 ديسمبر لا يزال شحن الطلبات متأثرًا، ولا تزال الشركة تعمل على استعادة الأنظمة بالكامل.
تفاصيل هجوم RansomHouse
وأعلنت مجموعة الابتزاز "رانسوم هاوس" مسؤوليتها عن الهجوم على أسكول. وكشفت العصابة في بادئ الأمر عن الاختراق في 30 أكتوبر/تشرين الأول، ثم أعقب ذلك تسريبان للبيانات في 10 نوفمبر/تشرين الثاني و2 ديسمبر/كانون الأول.
أحدث تسريب لبيانات Askul من RansomHouse
المصدر: BleepingComputer
شاركت شركة Askul بعض التفاصيل حول كيفية اختراق الجهات الفاعلة في التهديد لشبكاتها، حيث قدرت أنهم استغلوا بيانات اعتماد المصادقة المخترقة لحساب مسؤول شريك خارجي، والذي يفتقر إلى حماية المصادقة متعددة العوامل (MFA).
"بعد تحقيق الاختراق الأولي بنجاح، بدأ المهاجم في استطلاع الشبكة وحاول جمع معلومات المصادقة للوصول إلى خوادم متعددة"، كما جاء في الترجمة الآلية لـ تقرير أسكول.
وقالت الشركة: "يقوم المهاجم بعد ذلك بتعطيل برامج مكافحة الثغرات الأمنية مثل EDR، ويتنقل بين خوادم متعددة، ويحصل على الامتيازات اللازمة".
والجدير بالذكر أن أسكول ذكر أنه تم استخدام متغيرات متعددة لبرامج الفدية في الهجوم، وبعضها تهرب من توقيعات EDR التي تم تحديثها في ذلك الوقت.
مخطط الهجوم
المصدر: أسكول
تشتهر RansomHouse بسرقة البيانات وتشفير الأنظمة. وقال أسكول إن هجوم برامج الفدية "أدى إلى تشفير البيانات وفشل النظام".
وتشير تقارير Askul إلى أن حمولة برامج الفدية تم نشرها في وقت واحد عبر خوادم متعددة، بينما تم مسح ملفات النسخ الاحتياطي لمنع استردادها بسهولة.
وردًا على ذلك، قامت الشركة بفصل الشبكات المصابة فعليًا وقطع الاتصالات بين مراكز البيانات ومراكز الخدمات اللوجستية، وعزل الأجهزة المتضررة، وتحديث توقيعات EDR.
علاوة على ذلك، تم تطبيق MFA على جميع الأنظمة الرئيسية، وتمت إعادة تعيين كلمات المرور الخاصة بجميع حسابات المسؤولين.
ولم يتم بعد تقدير الأثر المالي للهجوم، وأرجأت شركة أسكول تقرير أرباحها المقرر لإتاحة المزيد من الوقت لإجراء تقييم مالي مفصل.
