El servicio de energía de Estados Unidos compartió detalles sobre cómo Akira Ramsomware hackeó su red
La empresa estadounidense de servicios energéticos BHI Energy compartió recientemente cómo comprometió su red y sus datos una campaña de ransomware llevada a cabo por el ransomware Akira.
El actor de amenazas Akira inició el ataque utilizando las credenciales de VPN comprometidas de un contratista externo para obtener acceso a la red interna de BGI Energy.
“Usando la cuenta de ese contratista externo, el atacante llegó a la red interna de BHI a través de una conexión VPN […] En la semana siguiente al acceso inicial, el actor de amenazas utilizó la misma cuenta comprometida para realizar un reconocimiento de la red interna”, se lee en la notificación de infracción.
El 16 de junio de 2023, los operadores de Akira volvieron a comprobar la red para ver cuántos datos se habían tomado. Los actores de amenazas tomaron 690 GB de datos, incluida la base de datos de Active Directory de BHI, en 767 mil archivos entre el 20 y el 29 de junio.
Después de obtener los datos de la red de BHI, desplegaron el ransomware Akira en todos los sistemas objetivo para cifrar los archivos el 29 de junio de 2023. En este punto, el personal de TI de BHI era consciente de que el negocio se había visto comprometido.
Los datos obtenidos por el grupo de ransomware involucraban la información personal de la víctima.
