Американская компания по управлению деловыми путешествиями Carlson Wagonlit Travel (CWT) подверглась атаке вымогательского ПО и, похоже, заплатила выкуп в размере $4,5 млн. Инцидент имел место на прошлой неделе, и компании пришлось отключить все свои компьютерные системы, пока инфекция не была локализована. Судя по всему, Carlson Wagonlit Travel решила не подвергать себя испытаниям и заплатить вымогателям за инструмент для восстановления зашифрованных файлов. Первым об индикаторах компрометации сообщил пользователь Twitter под псевдонимом JAMESWT в четверг, 30 июля. По данным указанного им сайта, специализирующегося на анализе вредоносного ПО, образец вымогателя был загружен 27 июля. Примерно тогда же Carlson Wagonlit Travel разослала некоторым своим клиентам уведомления о «киберинциденте». «На выходных с CWT случился киберинцидент. Мы можем подтвердить, что после временного отключения в качестве меры предосторожности наши системы снова подключены к Сети, и в настоящее время инцидент исчерпан. Мы немедленно начали расследование и привлекли сторонних криминалистов. Пока расследование находится на ранней стадии, у нас нет никаких признаков того, что персонально идентифицируемая информация клиентов и путешественников была затронута. Безопасность и целостность информации наших клиентов является нашим главным приоритетом», – сообщили в пресс-службе Carlson Wagonlit Travel изданию The Register. Судя по столь быстрому восстановлению, компания заплатила вымогателям, хотя сама она отказывается комментировать данный вопрос. Напомним, один из крупнейших в мире производителей алюминия, компания Norsk Hydro, ставшая жертвой вымогательского ПО в марте прошлого года, решила не платить выкуп, а справиться своими силами. В результате она потеряла $60 млн. Примечательно, что американский производитель навигационных сервисов Garmin, чьи сети недавно были зашифрованы вымогательским ПО WastedLocker, также решил не рисковать и заплатить выкуп. Предполагается, что 24-25 июля компания перевела вымогателям до $10 млн. По данным The Register, CWT могла стать жертвой вымогательского ПО Ragnar Locker, появившегося в конце прошлого года. Для заражения атакуемой сети вымогатель развертывает в ней виртуальную машину Windows XP. Его векторы атак включают в себя неправильно сконфигурированные средства управления безопасностью сервисов удаленных рабочих столов и атаки по цепочке поставок на поставщиков управляемых услуг.