Ransomware групата Gentlemen атакува Soja de Portugal, изтичат 491 GB данни

Ransomware групата Gentlemen атакува Soja de Portugal, изтичат 491 GB данни

Ransomware групата Gentlemen пое отговорност за атака срещу Soja de Portugal, една от водещите земеделски компании в Португалия, което доведе до излагане на 491 GB чувствителни корпоративни данни. Според публикация на DeXpose, компрометираните данни включват записи от SAP системата, информация за служители и финансови документи. Източникът носи дата 4 юни 2026 г., което изглежда или грешка в отчитането, или публикация с бъдеща дата; читателите трябва да имат предвид, че фактическата точност на тази конкретна дата не може да бъде потвърдена независимо, въпреки че множество източници на разузнаване за заплахи потвърдиха самия пробив като скорошно събитие.

Инцидентът се добавя към нарастващ списък от атаки, приписвани на The Gentlemen – операция тип „рансъмуер като услуга“, за която изследователите твърдят, че се появи публично през втората половина на 2025 г. и оттогава е взела стотици жертви в множество индустрии и държави.

Кои са The Gentlemen и защо са ефективни?

Групата Gentlemen работи като платформа тип „рансъмуер като услуга“ (RaaS), което означава, че основните разработчици лицензират своя зловреден софтуер и инфраструктура на свързани атакуващи, които извършват отделни кампании. Този модел намалява бариерата за навлизане за киберпрестъпниците и прави атрибуцията по-сложна за разследващите.

Това, което отличава тази група от по-старите операции с рансъмуер, е последователното им използване на двойно изнудване: те както криптират данните на жертвата, така и ги извличат, преди да задействат криптирането. Това означава, че дори организации със солидни процедури за резервно копиране са изправени пред втора заплаха: публичното освобождаване или продажба на откраднатите данни, ако откупът не бъде платен. В случая със Soja de Portugal групата изглежда е изпълнила тази заплаха, като се съобщава, че 491 GB са били публикувани или направени достъпни чрез тяхната инфраструктура за изтичане на данни.

Изследователите са отбелязали, че инструментариумът на The Gentlemen е насочен към Windows, Linux, хипервизори ESXi и NAS устройства, което ги прави способни да нарушават широк спектър от бизнес среди – от традиционни офис мрежи до виртуализирани центрове за данни.

Какви данни бяха изложени и защо това има значение

Категориите данни, засегнати при пробива в Soja de Portugal, заслужават внимателно разглеждане. SAP данните са особено значими: SAP е платформа за планиране на корпоративни ресурси (ERP), използвана от големи организации за управление на всичко – от вериги за доставки и поръчки до заплати и счетоводство. Пробив в SAP данните може да изложи на едно място договори с доставчици, ценови структури, вътрешни финансови прогнози и детайли за възнагражденията на служителите.

Записите на служителите, друга потвърдена категория в този пробив, обикновено включват имена, идентификационни номера, данни за контакт и понякога банкова информация за заплати. Когато тези данни изтекат, това създава последващи рискове за отделните служители, а не само за самата организация.

Този модел на насочване към корпоративни бизнес системи не е уникален за тази атака. Подобни инциденти, като атаката с рансъмуер Play срещу Ampex Data Systems, показаха как атакуващите приоритизират складове с високостойностни данни, включително лични данни на служители и финансови записи, именно защото те носят както лост за откуп, така и стойност при препродажба на престъпни пазари.

Земеделските и производствените компании стават все по-привлекателни цели, защото често управляват смесица от наследени оперативни технологии и модерен корпоративен софтуер, създавайки по-големи и по-малко еднородни повърхности за атака в сравнение с организации, изградили инфраструктурата си по-скоро.

Защо само периметровата сигурност не е достатъчна

Един от най-важните уроци от инциденти като този е, че традиционните периметрови защити – защитни стени, антивирусен софтуер и мрежово наблюдение – са необходими, но недостатъчни. Групата Gentlemen и подобни операции са известни с това, че получават първоначален достъп чрез фишинг кампании, изложени портове за отдалечен работен плот (RDP) и компрометирани идентификационни данни. Веднъж попаднали в мрежата, те се придвижват странично, често дни или седмици, преди да разположат рансъмуер.

Ето защо специалистите по сигурност все повече препоръчват многослоен подход към сигурността на организацията. Някои от най-ефективните слоеве включват:

• Мрежов достъп с нулево доверие: Вместо да се доверява на всяко устройство или потребител в периметъра на мрежата, архитектурата с нулево доверие изисква непрекъсната проверка на самоличността и здравето на устройството, преди да предостави достъп до какъвто и да е ресурс.
• Криптиран отдалечен достъп: VPN и подобни инструменти защитават данните при пренос и намаляват риска от прихващане на идентификационни данни по незащитени връзки, особено за отдалечени и хибридни служители, които достъпват чувствителни системи.
• Мрежова сегментация: Поддържането на системи като SAP изолирани от общите работни станции на служителите ограничава способността на атакуващия да се придвижва странично след първоначалното проникване.
• Откриване и отговор на крайни точки (EDR): За разлика от наследения антивирус, инструментите EDR наблюдават за поведенчески аномалии, които могат да показват, че атакуващ действа вътре в мрежата, дори преди да бъде разположен зловреден софтуер.

Атаката с рансъмуер срещу ChipSoft в Нидерландия илюстрира подобен модел на провал: атакуващите успяха да достъпят и извлекат големи обеми данни, защото вътрешните системи не бяха достатъчно сегментирани, а контролите за достъп не бяха достатъчно гранулирани, за да ограничат пробива след постигане на първоначално влизане.

Какво означава това за вас

Независимо дали вашата организация е мултинационална корпорация или регионален бизнес като Soja de Portugal, калкулацията на риска се е променила. Групи за рансъмуер с RaaS модели могат да разгръщат атаки в мащаб, като се насочват към всеки сектор, в който съществуват ценни данни. Земеделски компании, логистични фирми и производители може исторически да не са се възприемали като високостойностни цели, но данните, които съхраняват в ERP и HR системите, разказват различна история.

Ето конкретни стъпки, които организациите могат да предприемат, за да намалят излагането си на риск:

• Одит на точките за отдалечен достъп: Идентифицирайте всички услуги, достъпни през интернет, особено RDP и VPN шлюзове, и се уверете, че са защитени с многофакторно удостоверяване и редовно актуализирани идентификационни данни.
• Прилагане на достъп с най-малки привилегии: Служителите и системите трябва да имат достъп само до данните и приложенията, от които действително се нуждаят. Широките права за достъп ускоряват страничното придвижване след пробив.
• Тествайте резервните си копия: Офлайн или неизменяеми резервни копия са критична защита срещу рансъмуер с криптиране, но само ако редовно се тестват и се потвърждава, че могат да бъдат възстановени.
• Класификация на данните и криптиране в покой: Знаенето кои данни са най-чувствителни и осигуряването, че са криптирани дори когато се съхраняват вътрешно, ограничава стойността на извлечените файлове за атакуващите.

Пробивът в Soja de Portugal е полезен казус не защото е изключителен, а защото е все по-типичен. Тъй като атаките с рансъмуер продължават да излагат големи обеми корпоративни данни в различни сектори, организациите, които се справят най-добре, са тези, които третират сигурността като непрекъснат процес, а не като еднократна инвестиция. Прегледът на контролите за достъп, мрежовата архитектура и плана за реакция при инциденти сега е значително по-малко скъп от управлението на изтичане на 491 GB данни след факта.