![]()
本文为约5529字,建议阅读10分钟
本文介绍
了2021下半年值得关注的勒索软件攻击事件。
2021年,新冠疫情在全球范围内横行肆虐,新变异毒株接连爆发,赶不走,驱不散;与此同时,还有一种形态多样、发病越来越频繁的“流行病”——勒索病毒也在全世界狂掀疫情风暴。它们加密并窃取数据,甚至威胁破坏或者泄露数据,以此胁迫受害者缴纳高额的赎金,获取暴利。在2021年的G7峰会上,7国领导人发布联合声明,要求俄罗斯紧急打击在其境内活动的勒索软件团伙。由此可见,勒索软件带来的网络安全问题已经日渐凸显,到了损害国家利益的地步。继上周整理发布的2021年上半年值得关注的勒索软件攻击事件之后,本文将为您盘点2021下半年值得关注的勒索软件攻击事件。
美国软件商Kaseya 遭REvil 勒索软件供应链攻击
7月2日,美国软件开发商Kaseya遭受了勒索软件组织REvil的供应链攻击。在其网站的一份声明中,Kaseya将此次攻击归因于利用其VSA产品本地版本中的零日漏洞。这些漏洞允许攻击者绕过身份验证并使用VSA远程发送任意命令,从而导致在MSP的客户端上部署勒索软件。事件的广泛性质引起了联邦调查局的注意。
截至7月,Kaseya表示,它“知道受攻击影响的客户不足60家”,但影响范围涉及“1500家下游企业”。在7月22日的事件更新中,Kaseya表示它从第三方“获得了通用解密密钥”,并且正在努力修复受影响的客户。事实证明,第三方不是REvil,因为Kaseya确认它没有与攻击者谈判,并且“毫无疑问”没有支付赎金来获得该工具。
https://netsecurity.51cto.com/article/670588.html
全球IT咨询巨头埃森哲被黑客攻击 6 TB文件被盗
8月,全球IT咨询巨头埃森哲遭到了LockBit 勒索软件团伙发动的勒索软件网络攻击。LockBit勒索软件运营商声称从埃森哲的系统中窃取了超过6TB的数据,要求支付5000万美元的赎金以换取数据保密。鉴于埃森哲没有按时支付要求的金额,攻击者发布了据称在事件中被盗的2,000多个文件,并威胁要发布更多文件。
埃森哲还指出,未经授权访问其系统、数据盗窃和涉及公司启用或提供的客户系统的违规事件等事件并未对运营产生重大影响,但预计会产生财务影响。
埃森哲是一家以服务于汽车、银行、政府、技术、能源和电信等众多行业而闻名的IT巨头。埃森哲2020年收入443亿美元,市值2032亿美元,是全球最大的科技咨询公司之一,在全球50个国家或地区雇有约569000名员工。
https://baijiahao.baidu.com/sid=1714037128515920251&wfr=spider&for=pc
8月,中国台湾电脑大厂技嘉遭RansomExx勒索软件攻击,位于中国台湾的系统被迫关闭,超112GB签署保密协议的商业数据遭泄露,涉及英特尔、AMD等合作伙伴。黑客一方表示除非受害者接受他们提出的赎金要求,否则会将超过112GB商业数据发布在暗网之上。作为一家以高性能主板而闻名的硬件厂商,技嘉公司位于中国台湾的系统被迫关闭,多个网站受到影响。一位发言人表示,此次攻击并未影响技嘉的生产系统。只有中国台湾总部的几台内部服务器遭到入侵,而且目前已经被关闭和隔离。技嘉公司也开始着手调查黑客如何入侵系统、窃取文件并加密本地副本,同时将情况上报给当地执法部门。
http://www.mchz.com.cn/cn/service/Safety-Lab/info_26_itemid_4828.html
糖果巨头费拉拉(Ferrara)公司在准备迎接其最大假期之一“万圣节”的前几周遭到勒索软件攻击。这家位于伊利诺伊州的糖果公司在一份声明中称,“在 10 月 9 日他们遭受了一次勒索软件攻击,该攻击对他们的一些系统进行了加密。”“一经发现,我们立即对所有系统进行安全防护,并开始调查这起事件的性质和范围。
Ferrara正在与执法部门合作,我们的技术团队正在与第三方专家密切合作,以尽可能快速、全面、安全地恢复受影响的系统。”费拉拉在一份声明中说。“我们已经选定了一些制造工厂恢复生产,同时也调用全国的所有配送中心往各地发货,保证接近产能。我们现在也在努力处理我们队列中的所有订单。我们希望向消费者保证费拉拉的万圣节产品会在假期前在全国各地的零售商上架。”费拉拉没有说明是否支付了赎金或哪个勒索软件组织攻击了他们的系统。
宏碁印度售后服务系统再遭网络攻击,多达60GB数据正在被出售
根据外媒10月13日报道,黑客组织Desorden宣称,他们攻击中国台湾计算机大厂宏碁的印度服务器,并窃取60GB的资料,内容包含了客户信息、公司财务与审核资料,以及敏感账号的资料等,而这是继3月遭REvil勒索软件攻击后,该公司今年第2起重大的网络攻击事件。根据该新闻网站所提供的屏幕截屏内容,黑客攻击的是宏碁印度网站的服务器,并宣称数百万客户的资料受到波及。黑客组织Desorden为了证明确有其事,他们不只提供1万笔资料样本,也公布窃取资料过程的视频,其目的是求售他们窃得的数百万笔资料。
https://baijiahao.baidu.com/s?id=1713668755554851635&wfr=spider&for=pc
美国辛克莱广播集团遭勒索软件攻击 可能导致公司的部分业务中断
10月18日,美国最大电视台运营商之一的辛克莱广播集团(Sinclair Broadcast Group)发布声明称,该公司于上周遭到勒索软件攻击,目前该事件可能继续导致公司的部分业务中断。声明显示,辛克莱广播集团已于16日调查这起事件,并在17日确定该公司的某些服务器和工作站已被勒索软件加密。声明中还写道,身份不明的黑客还从辛克莱广播集团的网络中窃取了数据,目前辛克莱广播集团正在努力确定被窃取数据的内容。辛克莱广播集团已将此事件通知美国政府机构和执法部门,并承诺将“快速、安全”地恢复公司的业务服务。辛克莱广播集团还补充道,由于此次勒索软件攻击事件仍处于调查和评估的早期阶段,辛克莱广播集团目前无法确定该事件是否对其业务、运营或财务业绩产生重大影响。辛克莱广播集团是美国最大的电视网络之一,旗下拥有数百家地方电视台,在美国民众间有较大影响力。
https://baijiahao.baidu.com/s?id=1713999455763414524&wfr=spider&for=pc
10月25日,德国汽车排气和热管理系统供应商埃贝赫集团(Eberspaecher Group)表示,该公司受到了网络攻击,影响了该公司的信息技术基础设施。该公司在网站的一封声明中称这是一次“有组织的网络攻击”,而该公司立即采取了“必要措施”应对攻击,以保护员工和客户。声明称:“我们的团队正与外部网络安全专家和数据取证专家通力合作,以消除威胁,恢复正常运行,并且相关调查部门也参与进来了。”目前,此次网络攻击的细节、责任人以及对埃贝赫的运营和客户的影响尚不清楚。
https://mp.ofweek.com/nev/a456714033207
10月底,Grief 勒索软件操纵者称美国全国步枪协会 (NRA) 是其受害者。NRA 的名称已被列入暗网门户网站上,表明它被 Grief 勒索组织感染但尚未支付赎金。NRA 并未就此事置评。目前尚不清楚 Grief 团伙是否攻击了 NRA 的更小分支机构,还是攻击了NRA的中心网络。
https://blog.csdn.net/smellycat000/article/details/121026836
加密货币交易所BTC-Alpha遭Lockbit勒索软件攻击
11月初,加密货币交易所 BTC-Alpha 遭到了Lockbit 勒索软件攻击。勒索软件团伙在其运行的公共泄密网站称,已加密了BTC-Alpha的数据,如果BTC-Alpha在12月1日之前没有支付赎金,Lockbit组织就会泄露窃取的数据。据交易所发布的警报称,目前所有资金都是“安全可靠的”,预计该交易所将在四到五个工作日内恢复。然而,在重新评估安全恢复的准备情况后,公司在发布的更新中将预计停机时间增加到了 10 天。11月16日,一条新的 Telegram消息宣布 BTC-Alpha网站又恢复运营了,尽管该应用程序在20日之前一直处于关闭状态。BTC-Alpha的创始人认为,一家竞争对手加密货币公司应对此次攻击负责。
https://ti.dbappsecurity.com.cn/info/2838
欧洲零售巨头MediaMarkt 遭受勒索攻击 被索要2.4亿美元天价赎金
11月,欧洲最大的消费电子产品零售商MediaMarkt内部网络安全人员发现公司加密服务器和工作站遭受网络攻击后,立即关闭了内部IT系统,以防止攻击蔓延。随后,公司开展内部调查发现:此次攻击影响了欧洲众多公司零售店,其中荷兰地区的零售店铺受影响最大。此次勒索攻击发生之后,MediaMarkt立即发布内部声明,提醒员工避免使用加密系统并断开收银机的网络连接。
这给MediaMarkt的运营带来了非常多的麻烦——商店只能出售商店的现存商品,不能进行线上购买,除此之外,由于网络攻击,无法送货上门或退货。疑似MediaMarkt内部员工在Twitter上表示, 此次攻击影响了3100台服务器。据悉,此次勒索攻击的罪魁祸首便是Hive黑客组织。Hive最初开出了一个非常不切实际的天价赎金——2.4亿美元,以接收加密文件的解密器。虽然尚不清楚未加密的数据是否已作为攻击的一部分被盗,但众所周知,如果未支付赎金,Hive 勒索软件会窃取文件并将其发布在其“HiveLeaks”数据泄漏站点上。
https://www.xdns.cn/html/20211115637.html
11 月底,知名家居零售商宜家遭受一场持续的网络攻击。攻击者通过 ProxyShell 和 ProxyLogin 漏洞攻击 Microsoft Exchange 内部服务器,并可直接绕过密码,访问用户账户,通过历史往来的邮件,以回复方式发送给供应商或内部同事,而收件人很容易轻信并访问链接而中招,此次攻击定义为回复链电子邮件攻击。
https://netsecurity.51cto.com/article/692911.html
美国电信运营商 T-Mobile 再遭网络攻击 部分客户信息和SIM卡被窃取
继8月出现大规模数据泄露之后,美国电信运营商T-Mobile 于12月再次遭受到网络攻击。据悉,这一次攻击者进入了“少数”客户的账户,受影响的客户要么成为 SIM 卡交换攻击的受害者(这可能允许某人绕过由短信驱动的双因素认证),要么个人计划信息被暴露,或者两者都有。据称,被查看的客户专有网络信息可能包括客户的账单账户名称、电话和账户号码,以及他们的计划信息,包括他们账户上有多少条线路。
https://www.chinaz.com/2021/1229/1347272.shtml
加拿大天然气供应商Superior Plus遭到勒索软件攻击
12月,加拿大天然气供应商Superior Plus宣布,该公司遭受了勒索软件的攻击。这家价值数十亿美元的丙烷销售商表示,这起事件始于12月12日,
但没有回答是哪个勒索软件公司策划了这次攻击,也没有回答哪些系统受到了影响。Superior Plus表示:“在调查这起事件的过程中,Superior已经暂时禁用了某些计算机系统和应用程序,并正在使这些系统重新上线。”公司补充说,它“已采取措施保护其系统,减轻对公司数据和运营的影响”。该公司还表示,它仍在研究此次攻击对其运营的影响范围,并要求客户在应对攻击时保持“耐心”。根据该公司的声明,一家网络安全公司被雇佣来帮助处理此次攻击。
https://www.163.com/dy/article/GRAN3MMC05488SP2.html
12月,劳动力及人力资源管理云服务商Kronos称遭到勒索软件攻击,它说这将会使其云端服务在几周内无法使用。它建议客户使用其他方式来完成工资核算和其他人力资源活动。这次故障给客户带来了灾难性的后果。Kronos提供了一系列的解决方案,包括员工的日程安排、薪酬管理、工资和工时、福利管理、休假管理、人才招聘、入职培训等内容。它的客户包括很多世界上最大的公司,如特斯拉和彪马,以及各种卫生、公共部门和知名大学、基督教青年会等组织,以及餐馆和零售商等小型企业。该公司在通知中说,目前,云端服务还没有准确的恢复时间,这个问题可能至少需要几天才能解决。该公司在更新的声明中把这个时间段扩大到了可能需要几周。该公司建议那些受影响的客户使用其他方案来处理考勤数据,进行工资处理,管理时间,以及其他对该组织很重要的相关操作。声明称,公司内部的部署目前并不受影响,UKG Pro、UKG Dimensions或UKG Ready产品也没有受到影响。
https://baijiahao.baidu.com/s?id=1724367488429140391&wfr=spider&for=pc
微信扫码咨询专知VIP会员