Atak ransomware na francuską stronę ze szkoleniami. Hasła administratorów jako tekst

Pliki udostępnione przez cyberprzestępców wyglądają na autentyczne. Zachowano również oryginalną strukturę katalogów. Wstępna analiza pokazuje, że skompromitowano w pełni minimum jeden komputer należący do pracowniczki francuskiej firmy.

Grupie Cactus udało się również zdobyć dane należące do działu HR oraz IT, których swobodne przechowywanie woła o pomstę do nieba.

Skany paszportów i niejawne dokumenty

Możliwość kradzieży tożsamości to poważny problem. Niestety w wycieku znajduje się wiele zdjęć oraz skanów paszportów osób pochodzących przede wszystkim z Chin.

Inne pliki

Niestety oprócz skanów paszportów cyberprzestępcy opublikowali również wiele innych plików, które nigdy nie powinny ujrzeć światła dziennego. W jednym z katalogów można znaleźć foldery takie jak _HR, _IT czy _Legal. Znajdują się w nich informacje dotyczące m.in. współpracy firmy z chińskimi przedsiębiorcami, umowy o zachowaniu poufności i wiele innych niepublicznych informacji.

Przerażające jest to, że w katalogu _IT można znaleźć dane logowania do wielu miejsc zapisane w pliku Excel. Łącznie znajduje się w nich ponad 500 rekordów, w tym wiele loginów i haseł do kont administratorów.

Niestety w jednym z arkuszy można znaleźć dane logowania dla kont administratorów: domenowych, serwerów SQL, Sharepointa 2007, lokalnych, FTP, Azure, Moodle czy wirtualnych serwerów prywatnych (VPS).

Ostrzeżenie

Trzymanie haseł dostępu w formie pliku (tekstowego, arkusza Excela czy jakiegokolwiek innego) jest skrajnie nierozsądne, co pokazuje wspomniany wyżej wyciek danych. Hasła najlepiej… nie znać – korzystając z menadżerów haseł.

O incydencie poinformowaliśmy CERT-FR, francuski odpowiednik CERT Polska.