Honda пришлось останавливать производство из-за атаки SNAKE

image

Японский производитель автомобилей и мотоциклов Honda пострадал от кибератаки программы-шифровальщика SNAKE. С 8 июня компании пришлось прекратить работу своих заводов по всему миру, а также устроить выходной для сотрудников офисов. Атака затронула производственные процессы и продажи. Вернуться к нормальному режиму работу Honda сможет только к концу недели.

At this time Honda Customer Service and Honda Financial Services are experiencing technical difficulties and are unavailable. We are working to resolve the issue as quickly as possible. We apologize for the inconvenience and thank you for your patience and understanding.

— Honda Automobile Customer Service (@HondaCustSvc) June 8, 2020


В компании проводят внутреннее расследование. Его детали не разглашаются, известно лишь, что вредонос проник во внутренние IT-системы. Однако злоумышленникам не удалось добраться до клиентов Honda, утечек допущено не было. Были остановлены предприятия в США, Турции, Италии и Японии. Всего в Honda работает около 220 000 человек по всему миру.

Исследователь в области кибербезопасности под псевдонимом Milkream обнаружил образец вредоносной программы SNAKE (EKANS). Он шифрует данные и требует выкуп за возвращение доступа.


Образец загрузили для проверки на VirusTotal. Он ищет сетевое имя «mds.honda.com».

image

Сотрудники BleepingComputer попытались запустить этот вариант SNAKE на своих сетях, но шифровальщик сразу завершал работу. Очевидно, он предназначался именно для внутренних сетей компании.

По данным ИБ-эксперта Виталия Кремеца, данный образец SNAKE содержит отсылку к IP-адресу 170.108.71.15, расположенному в США.

Исследователи предположили, что хакеры могли использовать в качестве приманки информацию, связанную с распространением COVID-19, чтобы заставить жертв загрузить зараженные файлы.

К настоящему моменту работу некоторых заводов удалось восстановить, но владельцы авто жалуются в соцсетях, что они не могут совершать онлайн-платежи или получать доступ к веб-сайту обслуживания клиентов.

We haven’t been given an ETA yet but we’re hoping by opening tomorrow morning. ^WD

— Honda Automobile Customer Service (@HondaCustSvc) June 8, 2020


Ранее The Verge сообщал, что даже в период пандемии многие сотрудники офисов Honda по обслуживанию клиентов и финансов не могли работать удаленно. Они выражали обеспокоенность тем, что производитель не предпринял достаточных мер в период распространения коронавируса. За последние несколько недель Honda все же ввела проверки температуры сотрудников и обеспечила им социальную дистанцию на работе. Кому-то разрешили работать удаленно.

В 2017 году производитель автомобилей уже закрывал завод в Японии после того, как червь-вымогатель WannaCry смог частично заразить внутреннюю сеть.

В конце июля 2019 года исследователь безопасности Джастин Пейн обнаружил незащищенную базу данных ElasticSearch, в которой содержалась информация о 300 000 сотрудников Honda по всему миру, включая генерального директора.

Помимо информации, позволяющей установить личность, экземпляр базы данных содержал сведения о компьютерах в сети, такие как версия операционной системы, имена хостов и состояние исправлений.

Согласно исследованию Пейна, в таблице под названием «неконтролируемые машины» были перечислены системы во внутренней сети, где не было установлено ПО безопасности. Уже тогда он предупреждал, что через эти машины хакеры могут получить простой доступ во внутреннюю сеть.

Другая открытая база данных ElasticSearch, принадлежащая Honda, была обнаружена 11 декабря прошлого года исследователем безопасности Бобом Дьяченко. Записи включали данные о клиентах в Северной Америке с сервера регистрации данных и мониторинга для телематических служб. Там содержались полные имена, адреса электронной почты, номера телефонов, почтовые адреса, марка и модель автомобилей, а также их идентификационные номера (VIN). Всего было обнаружено около 26 000 записей о потребителях.

См. также: «Программа-вымогатель Snake/EKANS нацелилась на промышленные системы управления

© Habrahabr.ru