Группа вымогателей, известная как Qilin, взяла на себя ответственность за то, что она описывает как утечку данных, затронувшую Super Value Co ., японского ритейлера, который управляет супермаркетами и домашними центрами в префектуре Сайтама и районе Большого Токио. Группа указала компанию на своем темном веб-сайте, утверждая, что украла множество внутренних документов, включая файлы по кадрам, информацию о заработной плате и операционные данные.
Super Value Co еще не подтвердил, является ли предполагаемое нарушение подлинным, и на момент написания статьи не было сделано никакого официального заявления. Сообщается, что исследователи безопасности и СМИ обратились к компании за комментариями, но публично не ответили. Без проверки эти утверждения остаются неподтвержденными, хотя инцидент следует схеме, соответствующей деятельности Qilin в последние месяцы.
В сообщении группы угроз в даркнете утверждается, что украденные материалы включают в себя широкий спектр конфиденциальных записей. Среди них — идентификационные номера сотрудников, ФИО, домашние адреса, даты рождения, даты приема на работу, категории должностей, назначения отделов, номера телефонов, заработная плата, графики работы. В описании также содержатся ссылки на данные на уровне компании, такие как сведения о заработной плате, сводки по производительности, отчеты о происшествиях на рабочем месте, данные о продажах и прибыли, а также документация по заказам и поставкам. Кроме того, группа утверждает, что получила файлы, связанные с передачей ключей безопасности, которые могут указывать на доступ к внутренним объектам или цифровым учетным данным, используемым персоналом.
Если информация является подлинной, она может иметь серьезные последствия как для сотрудников, так и для компании. Персональные данные, содержащиеся в файлах отдела кадров, могут быть использованы для кражи личных данных или атак с использованием социальной инженерии. Киберпреступники часто используют украденные имена, адреса и контактные данные для создания убедительных фишинговых сообщений или выдают себя за законных сотрудников при нападении на внутренние системы. Даже информация, которая кажется рутинной, такая как расписания или иерархия отделов, может быть использована злоумышленниками для выявления важных целей или слабых мест в деятельности компании.
С организационной точки зрения, публикация финансовых и операционных данных может подорвать конкурентоспособность компании и нанести ущерб ее репутации. Подробная информация о показателях продаж, логистике цепочки поставок и управлении магазинами может быть ценной для конкурентов или других злоумышленников, стремящихся нарушить работу компании или использовать ее в своих интересах. Включение отчетов о несчастных случаях на рабочем месте и ключевой документации по безопасности позволяет предположить, что злоумышленники, возможно, стремились не только украсть данные, но и подчеркнуть степень своего внутреннего доступа.
Qilin, группа, взявшая на себя ответственность за атаку, известна тем, что нацелилась на компании в различных секторах в Азии, Европе и Северной Америке. Исследователи безопасности описывают это как хорошо организованную операцию вымогателей, которая сочетает в себе атаки шифрования с кражей данных. Метод группы обычно включает в себя взлом сети, кражу файлов, а затем угрозу обнародовать украденную информацию, если жертва откажется платить выкуп. Во многих случаях Qilin публикует часть данных в качестве доказательства давления на организации с целью ведения переговоров.
Банда была связана с несколькими инцидентами в этом году с участием производственных, логистических и розничных компаний. Аналитики считают, что операторы Qilinь связаны с русскоязычными киберпреступными сетями, хотя сама группа представляет себя как финансово мотивированный синдикат, а не как организация, явно поддерживаемая государством. Как и другие современные коллективы вымогателей, он работает как форма бизнес-франшизы, привлекая партнеров, которые проводят атаки под именем Qilin в обмен на долю прибыли от выкупа.
Претензии к ним подпадают под Super Value Co эту схему, хотя на данный момент не подтверждено ни зашифрованные системы, ни требования выкупа. Не исключено, что атака ограничилась кражей данных, а не полномасштабным развертыванием программы-вымогателя. Это согласуется с растущей тенденцией среди киберпреступных групп, которые все чаще отдают предпочтение утечке данных для продажи или шантажу, а не прямому нарушению бизнес-операций.
Если утечка подтвердится, это станет еще одним ударом по розничному сектору Японии, который в прошлом году столкнулся с устойчивым ростом киберинцидентов. Несколько японских компаний, в том числе производители и логистические фирмы, недавно стали мишенью групп вымогателей, стремящихся получить финансовые рычаги за счет раскрытия данных. Эти атаки подчеркнули растущую важность кибербезопасности на малых и средних предприятиях, которые управляют большими объемами данных сотрудников и потребителей.
Хотя заявления Qilinь остаются непроверенными, эксперты по безопасности предупреждают, что даже неподтвержденные листинги на форумах даркнета могут оказать непосредственное влияние на общественное доверие и непрерывность бизнеса. Компании, упомянутые в таких утечках, часто сталкиваются с пристальным вниманием со стороны партнеров и клиентов, которые опасаются, что их информация также могла быть скомпрометирована. Для сотрудников неопределенность, связанная с подлинностью утечки, может вызвать значительный стресс, особенно когда конфиденциальная информация, такая как домашние адреса и сведения о заработной плате, упоминается в онлайн-сообщениях.
На данный момент истинные масштабы предполагаемого нарушения остаются неясными. Компания не сообщала о каких-либо операционных сбоях, и никаких независимых доказательств, подтверждающих заявления Qilin, не было обнародовано. До тех пор, пока не появится дополнительная информация, остается неясным, являются ли украденные данные подлинными или группа пытается использовать ложные заявления, чтобы оказать давление на компанию с целью установления контакта.
Тем не менее, этот инцидент подчеркивает постоянную угрозу программ-вымогателей и вымогательства данных в отношении японских предприятий, которые продолжают оставаться привлекательными целями благодаря своей сильной экономике, обширной цифровой инфраструктуре и ценной интеллектуальной собственности. Что касается домена Super Value Co ., то ближайшие недели могут определить, являются ли эти утверждения доказанными или опровергнутыми, но даже предположение об утечке данных демонстрирует, как киберпреступники используют страх и неуверенность в качестве мощных инструментов в своих кампаниях.