Zdroj: The Register
Nemecká značka bicyklov Canyon začínala ešte v roku 1985 pod názvom Radsport Arnold ako dodávateľ dielov pre bicykle. V roku 2002 sa firma premenovala na Canyon a zmenila sa z dodávateľa na výrobcu. Svoje bicykle navrhuje v nemeckom meste Koblenz. Bohužiaľ po Travelexe a iných je ďalšou, ktorá bola na prelome rokov zasiahnutá ransomvérom.
V oficiálnej správe, ktorá je celkom úspešne „zakopaná“ na stránke firmy informuje, že boli cieľom „masívneho kriminálneho kyber útoku“. Kriminálnici prenikli do ich systémov a zašifrovali servery. Web stránka a online objednávanie síce neboli ovplyvnené, ale podľa vyjadrenia zakladateľa a CEO Romana Arnolda: „Kvôli zašifrovaniu našej infraštruktúry boli dočasne masívne narušené pracovné a obchodné procesy“.
Priamo zasiahnuté boli okrem centrály aj ďalšie pobočky v zahraničí okrem tej v USA. Chcete hádať prečo? Segmentácia! Americká pobočka si prevádzkuje vlastný IT systém, ktorý nebol priamo napojený na zvyšok firmy. Tak už len zvládnuť internú segmentáciu v pobočkách, tak ako to zdôrazňujeme aj našim zákazníkom.
To všetko znamená, že fanúšikovia bicyklov Canyon si síce bicykel môžu objednať, ale budú musieť počkať trochu dlhšie. To sa týka aj komunikácie s podporou ak bicykel už máte. Podľa vyjadrenia firmy bude zdržanie niekoľko dní, podľa môjho názoru sú veľkí optimisti. Skúste sa pozrieť na náš Twitter zo včera, Travelex je s prepáčením v riadnej kaši.
The Register kontaktoval britskú pobočku a dostali odpoveď: „Je to veľmi citlivá vec súvisiaca s podnikaním“. Nechcem špekulovať, ale to znie ako „nebudeme sa vyjadrovať, lebo zjednávame výkupné“. Kriminálnici v prípadoch ak chce firma zaplatiť trvajú na tom, aby nijako nekomentovali o aký ide ransomvér, aké je výkupné a či bolo zaplatené.
Ako sa útočníci dostali dovnútra? Zvyčajne ide o neaktualizované servery exponované na internete. Keď sa pozrieme pre aké služby boli vydané certifikáty pre doménu canyon.com, tak vidíme hneď dve podozrivé aplikácie Jira a Confluence od austrálskej firmy Atlassian.
Obrázok č.1: Zoznam subdomén s certifikátom pre canyon.com
Zdroj: incident.sk
Obidve aplikácie mali chyby, ale pre Confluence minulý rok vyšlo CVE-2019-3396, ktoré opisuje kritickú chybu vedúcu ku kompletnému ovládnutiu systému. Dokonca existuje Metasploit modul „Atlassian Confluence Widget Connector Macro Velocity Template Injection„. Neviem či sa takto dostali útočníci do siete, ale server confluence.canyon.com je hostovaný v Nemecku na Amazone a obsah dokumentov v Confluence mohol pomôcť útočníkom v útoku.
Obrázok: Canyon
