Compania de servicii turistice CWT a plătit în această săptămână 4,5 milioane de dolari hackerilor care au sustras o cantitate importantă de fişiere sensibile şi au blocat 30.000 de computere, anunţă Reuters.
Atacatorii au folosit o variantă de ransomware numită Ragnar Locker, care criptează fişierele din computer şi le face inutilizabile până când victima plăteşte.
Negocierile ulterioare dintre hackeri şi un reprezentant CWT au rămas accesibile publicului într-un grup de chat online.
CWT, care a înregistrat venituri de 1,5 miliarde de dolari anul trecut şi spune că reprezintă mai mult de o treime din companiile din S&P 500, a confirmat atacul, dar a refuzat să comenteze detaliile.
"Putem confirma că după închiderea temporară a sistemelor noastre, ca măsură de precauţie, acestea sunt din nou online şi incidentul a încetat", se arată într-un comunicat. "În timp ce ancheta se află într-un stadiu incipient, nu avem nicio indicaţie că informaţiile despre clienţi şi călători au fost compromise."
Hackerii au cerut iniţial 10 milioane de dolari pentru a restabili fişierele CWT şi a şterge toate datele furate, în conformitate cu mesajele văzute de Reuters. "Este probabil mult mai ieftin decât cheltuielile cu procesele sau pierderea reputaţiei cauzate de scurgeri", au scris atacatorii pe 27 iulie.
Reprezentantul CWT în cadrul negocierilor, care a spus că acţionează în numele directorului financiar al firmei, a spus că compania a fost lovită de pandemia COVID-19 şi a acceptat să plătească echivalentul a 4,5 milioane dolari în bitcoin.
Un registru public de plăţi în monedă digitală, un blockchain, arată că un portofel online controlat de hackeri a primit plata solicitată, de 414 bitcoin, pe 28 iulie.
Într-o notă de răscumpărare lăsată pe calculatoarele CWT infectate hackerii au susţinut că au furat doi terabyte de fişiere, inclusiv rapoarte financiare, documente privind securitatea şi date personale ale angajaţilor, precum adrese de e-mail şi informaţii salariale.
Nu este clar dacă datele care aparţin clienţilor CWT, inclusiv Thomson Reuters, au fost compromise.
