Kilka dni po informacji o rzekomym wycieku z Nike (1.4 TB danych), wpis znika z listy shame site grupy WorldLeaks. Co się stało?

Jak donosi JustaBreach na portalu X (dawny twitter), firma Nike została dotknięta cyberatakiem. Odpowiedzialność za atak wzięła grupa WorldLeaks, która twierdzi, że jest w posiadaniu około 1.4 TB danych (~188 tys. plików). Firma, w oficjalnym oświadczeniu przesłanym redakcji BleepingComputer przekazała, że bada potencjalny incydent bezpieczeństwa. Dodała również, że jej priorytetem jest prywatność konsumentów, a każde naruszenie bezpieczeństwa danych traktuje bardzo poważnie.

TLDR:

• Na jednej ze stron typu shame site pojawiła się informacja o wycieku danych firmy Nike.
• Za rzekomym atakiem stoi grupa WorldLeaks, która jak twierdzi jest w posiadaniu około 1.4 TB danych.
• Struktura katalogowa sugeruje, że atakujący mieli dostęp do wrażliwych danych produkcyjnych firmy.
• Przedstawiciele Nike w rozmowie z BleepingComputer potwierdzili, że badają sprawę nie dementując przy tym wiarygodności ujawnionych informacji.
• Grupa WorldLeaks usunęła ze swojej strony wpis związany z Nike, co może sugerować, że negocjacje idą w dobrym kierunku lub żądania zostały spełnione.

Co wiemy o WorldLeaks?

Grupa WorldLeaks jest stosunkowo nowym graczem na scenie, chociaż biorąc pod uwagę ich aktywność nie można powiedzieć, że są to nowicjusze. Według badaczy bezpieczeństwa członkowie grupy wywodzą się z Hunters International (spadkobiercy grupy Hive), znanej głównie z działalności typu Ransomware-as-a-Service (RaaS). Oprócz klasycznego szyfrowania infrastruktury, stosowali model double extortion, czyli wykradali dane, a następnie grozili ich ujawnieniem w przypadku niespełnienia żądań.

Grupa w 2025 r. zrezygnowała z klasycznego RaaS na rzecz eksfiltracji danych i szantażu, promując model Extortion-as-a-Service (EaaS). Coraz częściej zaczęli występować pod nową marką – WorldLeaks, szybko budując silną pozycję w środowisku. Na stronie shame site praktycznie codziennie aktualizują listę zaatakowanych firm, umieszczając próbki wykradzionych danych jako dowód.

Po przejęciu dostępu do infrastruktury celu i skrytej eksfiltracji danych, zostawiają notatkę precyzyjnie opisującą kroki, które należy podjąć, aby zapłacić okup.   

Co zostało ujawnione?

Firma Nike jak dotąd nie potwierdziła, że padła ofiarą cyberataku, ani nie odniosła się do autentyczności opublikowanych materiałów. Jeśli doniesienia okażą się prawdą, będzie to oznaczać, że atakującym  udało się dotrzeć do wrażliwych zasobów firmy (dokumentacja techniczna, dane biznesowe, szczegóły łańcucha dostaw, prototypy produktów). Taki wyciek stanowiłby potężny cios zarówno pod względem wizerunkowym jak i strategicznym.

Na ten moment nic nie wskazuje na to, że celem ataku były dane osobowe klientów. Najprawdopodobniej mamy do czynienia ze szpiegostwem przemysłowym i kradzieżą własności intelektualnej.  

Możliwe scenariusze ataku

Na wnioski z przeprowadzonych analiz przyjdzie nam jeszcze poczekać, o ile firma zdecyduje się upublicznić raport z przeprowadzonych działań. Niemniej jednak analiza struktury udostępnionych danych pozwala wytypować prawdopodobne scenariusze ataku. 

Obecność ścieżki C:\elcat\ sugeruje, że punktem wejścia mogła być stacja robocza konkretnego pracownika lub podatny serwer, który został wystawiony do sieci bez odpowiednich zabezpieczeń.

Ponadto, biorąc pod uwagę obecność folderów dotyczących komunikacji z fabrykami (Factory Communication), istnieje duże prawdopodobieństwo, że celem ataku były systemy podwykonawców lub firm pośredniczących w zarządzaniu produkcją. Mamy więc klasyczny przykład ataku na łańcuch dostaw (Supply Chain Attack), który w ostatnich miesiącach znacząco zyskuje na popularności.

Nie można również wykluczyć, że wektorem ataku było konto użytkownika o wysokich uprawnieniach. Ostatnio opisywana przez nas kampania obrazuje, w jaki sposób atakujący wykorzystują dostępne publicznie informacje i media społecznościowe do przeprowadzania ataków typu spear-phishing wycelowane w kadrę zarządzającą oraz administratorów.

Co dalej?

Grupa WorldLeaks usunęła wpis dotyczący Nike ze strony shame site, co może sugerować, że strony są w trakcie zaawansowanych negocjacji lub okup został już zapłacony. Często jest to tzw. gest dobrej woli, kiedy to strona poszkodowana podjęła dialog i jest skłonna zapłacić za usunięcie danych. Cyberprzestępcom zależy na wiarygodności, dlatego po zapłaceniu okupu przeważnie wywiązują się ze swoich zobowiązań i usuwają dane. 

Jednak pewności nie można mieć nigdy, bo być może wykradzione dane lub sposób dostępu do infrastruktury zostanie sprzedany innej grupie, a cała historia powtórzy się ponownie.

W momencie pojawienia się oficjalnego stanowiska Nike, artykuł zostanie zaktualizowany.

Źródło: bleepingcomputer.com

~_secmike