Accenture der har 537.000 ansatte som Microsoft Gold Partner er udsat for Ransomware. Hackerne truer med publisering og hjemmesiden er nu forsvundet

Accenture, der er topeliten af de største internationale Microsoft Gold Partnere er ramt af et ransomwareangreb med varianten LOCKBIT. Accenture er selv rådgiver til kunder om Ransomware og Hacking og er tillige eksperter i Dekryptering og Kryptering. Her kl. 12:35 forsvandt hjemmesiden efter 20 forsøg og forsøg fra andre sites kan jeg konstarrere at hjemmesiden også er berørt. (Den kom op senere ca. 17:15 da jeg prøvede igen).

I følge flere medier heriblandt Reuters og Forbes i går aftes. Det står ved morgenstunden dog uklart om hackerne har kopieret alle data fra Accenture. Og om de vil publicere det, for det virker ikke som om Accenture vil betale ransomware summen, der er ukendt. Jeg vil skønne at de er blevet afkrævet 100 millioner dollars, når kan henser til størrelsen af virksomheden. Accenture har også har 800 ansatte i Danmark.

Om hackerne er i besiddelse af firmaets data eller bluffer er det store spørgsmål og med forskellige timeantal skriver flere medier at de skulle blive offentliggjort om 22 timer altså kl. 22:45 i aften Torsdag den 12.08.2021. En anden tæller i et forum, udløb dog onsdag klokken 17:30. Dette skal dog ikke tages som en blufmanøvre. Det er helt nornalt med flere timere. Ja hackere bluffer, men indenfor Ransomware kan vi se det som en tidsramme forskydning i forhold til opfølgning eller det faktum at hackere har mange “kunder”. Om det er bluf eller ej, så kender jeg 2 fraktioner af Lockbit og de bluffer ikke lige. Det er heller ikke unormalt at hackere ændrer udbetalingskrav til andre wallets.

Accenture er selv rådgiver og leverandør til hvordan man skal benytte sig mod Ransomware. Så her er altså en der burde kunne beskytte sig selv. Det fremgår blandt andet herunder ved en screendump på hjemmesiden:

“Jeg kender selv Accenture, som jeg for ca. 15 år siden har leveret IT infrastruktur til, og de burde ikke kunne blive ramt af Lockbit da de er både Microsoft Gold Partner, Cisco Specialist og forhandler af mange forskellige løsninger til at undgå Ransomware. De ved ihvertfald hvad de skal gøre nu.”

siger Michael Rasmussen, Partner, Icare.dk

Accenture har formentligt ikke betalt hackerne. På Darkweb (vi angiver aldrig link til kriminelle sider) er der dog flere countdowns sider. En Countdown er det varsel som hackerne har givet indtil de publicere datasættet, som jeg kun kan forstille mig indeholder både egne data, der kan være dybt fortrolige f.eks. vedr. forhandlinger, leverancer til det offentlige, udbud, kontrakter, konkurrent informationer og mange store virksomheders kunders data i stor stil hvis hostingdelene er med. Man laver ikke Countdown sider uden at man har noget at have det i på Darkweb. De fleste hackergrupper er med her, for at prale, finde inspiration, rekruttere eller publisere misvisende informationer i forskellige sammenhæng. Jeg vil advarer almindelige brugere om at besøge sådanne sider, fordi det er forbundet med en stor risiko. Når jeg selv gør det, er det via min iMac via en Debian Server Proxy, med forskelligt udstyr til beskyttelse.

Lockbit Ransomware startede i 2019 under navnet ABCD

Lockbit er en sevldistribuerende Ransomware, der hele tiden forsøger at overleve ved at have så mange værter som muligt. Den opsamler information om værterne og hvilke rettigheder den kom ind under. 90% af hele Ransomware markedet kan kræve mange manuelle styringer og spreder ikke sig selv. Lockbit indeholder en Scriptbaseret sniffer, der går ud på at finde tilsluttede klienter og hosts til hvos den befinder sig. Den kan dog også styres manuelt, f.eks. ved at få tilført nye funktioner, dette bruges dog ikke ofte, da denne manøvre kan afsløre Lockbit. Det sker dog altid at der slås til manuel styring når offeret skal krypteres. Dekrypteringen er omfangsrig og kan tage 1-2 dage. Lockbit findes i ca. 15 versioner og man kan leje en del af disse efter onceptet RAAS (Ransomware As A Service)

»These people are beyond privacy and security. I really hope that their services are better than what I saw as an insider. If you’re interested in buying some databases, reach us,«

skriver Lockbit hackerne. Hvis det er sandt, ser vi annoncer hvor Accenture indhold kan købes, måske allerede i dag.

Hemmelige Data fra en af verdens største aktører kan være sprængstof, også i Danmark

Hvis hackerne har tømt de store SAN’s fra Accenture, kan der være tale om hemmeligheder fra kontrakter med myndigheder til data fra egne klienter som hostes på Microsoft Cloud Computing tjenesten. Jeg kan forstille mig, at Accenture har backup af disse “hjemme” i det abonnement de tilbyder.

Men det er spekulation, da hackerne ikke har specificeret hvad der er adgang til, hvis det er lykkedes hackerne at få adgang til computersystemerne. Men noget tyder på at de er klar med data, fordi de har annonceret det og fordi selve offeret er et af verdens største mål. Det praler man med.

Accenture har fåmeldt bekræftet bekræftet angrebet:

»Through our security controls and protocols, we identified irregular activity in one of our environments. We immediately contained the matter and isolated the affected servers… »There was no impact on Accenture’s operations, or on our clients’ systems.«

Det skrev Accenture til Reuters i går aftes.

Accenture, oplyste også at de genskabte de inficerede data fra en backup.

Accenture har på intet tidspunkt plyst om de kører med kryptering eller om det er lykkedes med dekryptering.

RANSOMWARE OPDATERING:

Nyhedsmediet Le Parisien der ligger i Paris, har oplyst at angriberne har haft succes til at hente seks terabyte data. Det oplyses også i artikelen at hackerne har krævet op til 50 millioner dollars i Ransomware løsesum.

I lækket fremgår det at der har været en for dårlig omgang med password. F.eks. kunne Accentures Azure AD (Active Directory) tilgås med standardpasswords. Accenture er blevet spurgt af mange medier, men de vil hverken be- eller afkræfte. Derfor var det ikke en bluff som Lockbit hackerne truede med.

Vi har kigget lidt på materialet, det viser sig at være interne data fra Accenture. Selve lækket indeholder detaljerede beskrivelser af kunder og dybt fortrolige data om disse kunder og Accenture selv. Det er umuligt for hackerne at forfalske så store data, så jeg ser det som et ægte bevis. Vi skal anbefale at man ikke kigger i sådanne data da der for det første sker mange alarmer, når man går derind og for det andet er det ulovlige data.

De fleste stort anlagte trusler om at publicere data sker, for ellers vil de jo tabe ansigt overfor andre grupper. Hvad enten man vil indse det eller ej, er det foruden penge også praleri, at man kan hacker verdens største virksomheder og Accenture specielt, fordi de udbyder sikkerhedssoftware.

Det er således ærgeligt at Accenture ikke spiller med åbne kort.

Som hackerne udstrykker det på sin hjemmeside:

»These people are beyond privacy and security. I really hope that their services are better than what I saw as an insider«

En Lockbit Hacker fra Lockbits egen hjemmeside.

Scroll til toppen