Kompan A/S får stjålet data via Conti, en forholdsvis ny Ransomware der angriber Windows

Som leverandør til Kompan A/S for 20 år siden ved jeg, at de gør alt for sikkerhed altid, men denne gang har en ny Ransomware vist sig at være effektiv. Firmaet ved dog heller ikke hvordan hackerene er kommet ind, så det kan være alt fra USB til Email Phising. Kompan har filialer globalt, så det kan også være via denne vej.

Kompan A/S der har en omsætning på 877 millioner kr. tjente 224 millioner kr. og har 128 ansatte. De sælger legepladser globalt på et attraktivt marked. Desværre for Kompan offentliggjorde hackerne 500 GB data på Darknet, heriblandt mange data som ikke vedkommer andre.

Følsomme oplysninger står øverst på ønskelisten hos hackere, især Conti

Disse data består af data vedrørende de ansatte og mange andre følsomme data herunder sundhedsoplysninger, arbejdsskader, kreditkort oplysninger på medarbejderne. Derudover er strategier, distributions- og samarbejdskontrakter med udenlandske og danske aktører, produktudvikling og markedsføringsplaner til sammen med budgetter og bogholderi blandt de data som nu er publiceret på Darknet.

Om Conti hackerne har flere data, og fortsat afpresser virksomheden for disse har vi ikke kendskab til. Det er ikke usævanligt at de først publiserede data, der publiceres som hævn for manglende data, ikke er det hele, men blot en del af den samlede mængde. Derefter afpresser hackerne igen.

Som det fremgår af firmaets hjemmeside, siger IT Chefen:

»Vi har ligeledes konstateret, at hackerne har indlæst en kode (malware) som har krypteret og kopieret ustrukturerede dele af vores data, primært medarbejderdata og kontaktoplysninger på samarbejdspartnere til en ekstern server.« »Det er vores vurdering, at der er tale om organiseret, professionel IT-kriminalitet, som har fundet sted som led i den seneste tids bølge af hackerangreb mod danske virksomheder og myndigheder. Vi ved ikke præcis, hvordan hackerne kom ind i første omgang, men en anden aktindsigt viser, at Kompan også har haft problemer med en SQL-server i 2021, der blev patchet. Hvor længe sårbarheden har stået åben, ved vi ikke.« beskrives det på Kompan’s hjemmeside.

Conti Ransomware og hackergruppen bag

Conti er russisk og bruger sin egen implementering af AES-256, der bruger op til 32 individuelle logiske tråde, hvilket gør det meget hurtigere end de fleste ransomware. Leveringsmåden er ikke klar. Banden bag Conti har drevet et websted, hvorfra det kan lække dokumenter kopieret af ransomware siden 2020.

Det er den samme bande har drevet Ryuk Ransomware og vi har identificeret dem som flere grupper med tilknytning til det russiske mafia og eller regering herunder bl.a. grupperne Wizard Spider og Ransome der begge er baseret i Sankt Petersborg, Rusland. Når Conti er på kommet et system, vil den forsøge at slette øjebliksbilleder af diskenheder og derudover afslutter den selv en række tjenester ved hjælp af Genstartsstyring for at sikre, at den kan kryptere filer, der bruges af dem. Dette tiltag deaktiverer imidlertid realtidsovervågning og fjerner helt Windows Defender-programmet. Standardfunktionsmåde er at kryptere alle filer på lokale og netværksbaserede servermeddelelses blokdrev. Den ignorere filer med DLL- , .exe- .sys- og .lnk-udvidelser. Som noget nyt er Conti også i stand til at målrette specifikke drev samt individuelle IP-adresser. Conti er en relativt ny ransomware, der første gang blev observeret i 1999. Den er målrettet mod alle versioner af Windows. Apple computere såsom iMac er undtaget men da alle Mac computere også kan køre Windows, skal man her tjekke for denne.

Scroll til toppen