Hackere offentliggør Accentures filer om 22 timer - eller også er det bluff

Illustration: Mads Lorenzen | Screenshot
Rådgivergiganten Accenture er ramt af et ransomwareangreb. Et efterhånden velkendt fænomen, som Accenture selv rådgiver kunder til at undgå og overleve. Det er dog ikke klart om hackerne er i besiddelse af firmaets data eller bluffer.
Accenture rådgiver danske og udenlandske virksomheder til at overleve den situation, de selv befinder sig i nu Illustration: Mads Lorenzen | Screenshot

En ukendt del af den internationale rådgivningsgigant Accentures infrastruktur er blevet ramt af ransomwaren Lockbit.

Alt tyder imidlertid på at Accenture, der også beskæftiger 800 i Danmark, ikke har betalt de kriminelle, for hackergruppen har startet en faretruende countdown på forskellige dark web-sider, der markerer, hvornår gruppen vil offentliggøre selskabets data.

Et af de mange områder, Accenture rådgiver inden for er netop, hvordan man styrker sin it-sikkerhed og undgår ting som ransomware - samt hvad man bør gøre, hvis uheldet kulle være ude.

I skrivende stund står tælleren på 22 timer og 34 minutter. Det betyder, at de krypterede og stjålne data vil blive publiceret klokken 22:45 torsdag aften dansk tid.

Det lader imidlertid til, at en anden tæller udløb onsdag klokken 17:30 centraleuropæisk tid - og at Lockbit derfor allerede er blevet taget i et bluff.

»These people (Accenture, red.) are beyond privacy and security. I really hope that their services are better than what I saw as an insider. If you're interested in buying some databases, reach us,« lyder det kontant fra hackerne bag angrebet, der altså tilbyder at sælge ud af data, inden de - måske - offentliggøres i morgen.

Uvist hvad lækket indeholder

Præcis hvad hackerne har fået adgang til, vides ikke. Men ifølge hackerne selv er der tale om yderst hemmelige data.

Vi har imidlertid endnu ikke set så meget som en byte fra angriberne, så der kan som sagt fortsat være tale om et bluff, men Accenture bekræfter dog selve angrebet:

»Through our security controls and protocols, we identified irregular activity in one of our environments. We immediately contained the matter and isolated the affected servers,« skriver Accenture til Reuters onsdag aften.

Derudover fortæller Accenture, at firmaet kom hurtigt tilbage fra angrebet ved at genskabe de ramte systemer fra en backup.

»There was no impact on Accenture's operations, or on our clients' systems,« lød det endeligt.

Ifølge det franske medie Le Parisien ligger angriberne inde med seks terabyte data og har krævet op mod 50 millioner dollars i løsesum. Disse oplysninger understøttes dog ikke af Version2s indsamlede informationer på dark web.

Lockbits praler med krypteringshastigheder, der er langt hurtigere end berygtede konkurrenters. Illustration: Mads Lorenzen | screenshot

Lockbit: »Vi samarbejder kun med professionelle«

Ifølge Lockbit selv er hackerne kræsne med, hvem de samarbejder med. Version2 har kigget nærmere på, hvad det kræver at få lov at købe softwaren på selskabets hjemmeside.

»We cooperate only with experienced pentesters who are real professionals in such tools as Metasploit Framework and Cobalt Strike,« skriver hackerne på dark web og fortsætter:

»Cooperation terms and conditions are determined for each Customer individually,« skriver Lockbit, der i øvrigt proklamerer, at deres software er det bedste, der findes derude.

»With our help you can easily get more targets over the weekend than with any other affiliate program over the week.«

Det er imidlertid ikke unormalt, at de kriminelle - ikke så overraskende - snyder de kriminelle og hacker hinanden indbyrdes, fortæller Keld Norman, der som konsulent hos Dubex løbende holder øje med de kriminelle på dark web.

Er Accentures kæmpekunder også berørt?

Det store spørgsmål er nu, om Accentures kæmpekunder også har data, der om 22 timer bliver lagt frem til frit skue. Accenture har leveret rådgivning til ingen mindre end Google, Alibaba og Cisco, der alle er kæmpe aktører på de digitale markeder.

Som sædvanligt er det svært at vurdere, hvor angriberne befinder sig. Ved første øjekast lod det til, at Lockbits dark web-side hostes på en kinesisk IP. Men det kan forfalskes og maskeres på så mange måder, at det næppe er til at stole på, vurderer Keld Norman, der mener der nærmere er tale om vildledning.

Version2 har kontaktet Accenture og vi følger op, så snart der er nyt fra rådgivningsgiganten.

Opdateret screenshot, 13.08.21 11:00 Illustration: Mads Lorenzen | Screendump

Artiklen er opdateret 13.08.21 kl. 10:59. Hackerne har endnu ikke offentliggjort data. I stedet har de forlænget fristen til betaling med et døgn. Se billedet til højre, taget kl 11 dansk tid.

Opdateret 13.08.21 13:13 Serveren er bare overbelastet. Vi har nogle filer, vi skriver en opfølger, der udkommer i eftermiddag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Nis Schmidt

Artiklen er netop blevet opdateret. Det ligner altså mere og mere bluff, men vi følger fortsat sagen.

Hej Mads, tak for updaten. Tak i lige måde ;-)

Det er som et kanonslag, der (som brekendt) kun kan afskydes én gang! I givet fald vil det nok, som du antyder være en lidt pinlig fuser.

  • 1
  • 0
Log ind eller Opret konto for at kommentere