Sau khi phần mềm ransomware Medusa tuyên bố tấn công Toyota Financial Services (TFS), Toyota đã xác nhận phát hiện hành vi truy cập trái phép vào một số hệ thống của công ty ở Châu u và Châu Phi.
Toyota Financial Services là một công ty con của Toyota Motor Corporation- tổ chức toàn cầu có mặt ở 90% thị trường nơi Toyota bán ô tô, cung cấp tài chính mua ô tô cho khách hàng.
Đầu ngày 16 tháng 11, băng đảng ransomware Medusa đã liệt kê TFS vào trang web rò rỉ dữ liệu trên web đen, yêu cầu thanh toán 8.000.000 USD để xóa dữ liệu được cho là bị đánh cắp này.
Các kẻ nhân đe dọa đã đặt thời hạn cho Toyota phản hồi trong vòng 10 ngày, tùy chọn gia hạn thêm thời gian với mức phí 10.000 USD mỗi ngày trôi qua.
Mặc dù TFS không xác nhận liệu dữ liệu có bị đánh cắp trong cuộc tấn công hay không, nhưng những kẻ đe dọa tuyên bố đã lấy cắp các tập tin và rò rỉ dữ liệu nếu không trả tiền chuộc.
Để chứng minh, tin tặc đã công bố dữ liệu mẫu bao gồm tài liệu tài chính, bảng tính, hóa đơn mua hàng, mật khẩu tài khoản băm, ID và mật khẩu người dùng, thỏa thuận, quét hộ chiếu, sơ đồ tổ chức nội bộ, báo cáo hiệu suất tài chính, địa chỉ email của nhân viên, v.v.
Medusa cũng cung cấp file .TXT của tất cả dữ liệu mà họ cho là đã đánh cắp từ hệ thống của Toyota. Hầu hết các tài liệu đều bằng tiếng Đức, cho thấy tin tặc đã truy cập được vào các hệ thống phục vụ hoạt động của Toyota ở Trung u.
Người phát ngôn của công ty đã đưa ra tuyên bố sau:
“Toyota Financial Services Châu u và Châu Phi gần đây đã xác định được hoạt động trái phép trên các hệ thống ở một số địa điểm hạn chế. Chúng tôi đã tắt một số hệ thống nhất định để điều tra và giảm thiểu rủi ro, đồng thời cũng đã bắt đầu làm việc với cơ quan thực thi pháp luật. Tính đến thời điểm hiện tại, sự cố này chỉ giới hạn ở Toyota Financial Services Châu u và Châu Phi. Quá trình đưa các hệ thống trở lại hoạt động bình thường đã được tiến hành ở hầu hết các quốc gia.”
Sau khi Medusa tiết lộ TFS là nạn nhân, nhà phân tích bảo mật Kevin Beaumont đã nhấn mạnh rằng văn phòng tại Đức của công ty TFS có một điểm cuối Citrix Gateway kết nối với internet và chưa được cập nhật kể từ tháng 8 năm 2023, khiến nó dễ bị tấn công bởi Citrix Bleed (CVE-2023-4966).
Trong tuần thứ 2 của tháng 11, các kẻ tấn công ransomware Lockbit đang sử dụng các khai thác công khai dành cho Citrix Bleed để đạt được các hành vi vi phạm chống lại Ngân hàng Công thương Trung Quốc (ICBC), DP World, Allen & Overy và Boeing.
Có thể các nhóm ransomware khác đã bắt đầu khai thác Citrix Bleed, lợi dụng bề mặt tấn công khổng lồ ước tính lên tới vài nghìn điểm cuối.
Nguồn: Bleeping Computer