Гигант цифровой безопасности Entrust подтвердил, что он подвергся кибератаке, когда злоумышленники взломали его сеть и украли данные из внутренних систем.

Entrust — это охранная фирма, специализирующаяся на онлайн-доверии и управлении идентификацией, предлагающая широкий спектр услуг, включая зашифрованную связь, безопасные цифровые платежи и решения для выдачи удостоверений личности.

В зависимости от того, какие данные были украдены, эта атака может затронуть большое количество важных и конфиденциальных организаций, которые используют Entrust для управления идентификацией и аутентификации.

Сюда входят правительственные учреждения США, такие как Министерство энергетики, Министерство внутренней безопасности, Министерство финансов, Министерство здравоохранения и социальных служб, Министерство по делам ветеранов, Министерство сельского хозяйства и многие другие.

Примерно две недели назад источник сообщил BleepingComputer, что Entrust был взломан 18 июня и что хакеры украли корпоративные данные во время кибератаки.

Однако только вчера взлом был публично подтвержден, когда исследователь безопасности Доминик Альвьери  опубликовал в Твиттере снимок экрана  с уведомлением о безопасности, отправленным клиентам Entrust 6 июля.

«Я пишу, чтобы сообщить вам, что 18 июня мы узнали, что неавторизованная сторона получила доступ к некоторым из наших систем, используемых для внутренних операций. С этого момента мы неустанно работаем над исправлением этой ситуации», — говорится в уведомлении о безопасности от генерального директора Entrust Тодда Уилкинсона.

«Первое, что я хочу вам сказать, это то, что, хотя наше расследование продолжается, на сегодняшний день мы не обнаружили никаких признаков того, что проблема повлияла на работу или безопасность наших продуктов и услуг».

Уведомление о безопасности подтверждает, что данные были украдены из внутренних систем Entrust. Однако в настоящее время неизвестно, являются ли это чисто корпоративными данными или данными клиентов и поставщиков.

«Мы определили, что некоторые файлы были взяты из наших внутренних систем. Поскольку мы продолжаем исследовать проблему, мы свяжемся с вами напрямую, если узнаем информацию, которая, по нашему мнению, повлияет на безопасность продуктов и услуг, которые мы предоставляем вашей организации»,- Entrust.

Сегодня Entrust сообщил BleepingComputer, что они работают с ведущей фирмой по кибербезопасности и правоохранительными органами для расследования атаки, но это не повлияло на их деятельность.

«Пока наше расследование продолжается, на сегодняшний день мы не обнаружили никаких признаков того, что проблема повлияла на работу или безопасность наших продуктов и услуг, которые работают в отдельных, изолированных от наших внутренних систем средах и полностью работоспособны», — Entrust рассказал BleepingComputer.

Удар банды вымогателей

Хотя в уведомлениях о безопасности и заявлениях Entrust для BleepingComputer не сообщалось дополнительных подробностей об атаке, BleepingComputer узнал, что за атакой стоит известная банда вымогателей.

Хотя неясно, были ли устройства зашифрованы во время атаки, банды вымогателей обычно крадут данные, прежде чем запускать свои шифраторы для использования в схемах двойного вымогательства.

По словам генерального директора AdvIntel  Виталия Кремеза, программа-вымогатель приобрела скомпрометированные учетные данные Entrust и использовала их для взлома своей внутренней сети.

«Операция ответственной группы полагалась на доверенную сеть продавцов сетевого доступа для получения начального доступа к среде Entrust, что привело к последующему шифрованию и эксфильтрации через известную группу вымогателей», — сказал Кремез BleepingComputer в разговоре об атаке.

Если Entrust не заплатит требование о выкупе, мы, скорее всего, узнаем, какая операция программы-вымогателя стояла за атакой, когда они публично опубликуют украденные данные.

Когда мы обратились в Entrust с вопросами об атаке программы-вымогателя, они сказали нам, что не могут поделиться какими-либо подробностями об атаке.

Перевод статьи «Digital security giant Entrust breached by ransomware gang»