信息來(lái)源:嘶吼網(wǎng)
總部設(shè)在英國(guó)的時(shí)尚品牌French Connection對(duì)外證實(shí)它已經(jīng)遭到了來(lái)自勒索軟件集團(tuán)Revil的攻擊。僅僅幾個(gè)小時(shí)后,巴西醫(yī)療診斷公司Grupo Fleury對(duì)外宣布它也遭遇了同樣的網(wǎng)絡(luò)攻擊。
從這兩起網(wǎng)絡(luò)攻擊事件可以看到目前世界上最危險(xiǎn)的勒索軟件威脅集團(tuán)的攻擊戰(zhàn)略和攻擊動(dòng)機(jī)。
這個(gè)瘋狂作案的勒索軟件團(tuán)伙,叫做Sodinokibi,它攻破了French Connection的后端服務(wù)器,竊取了大量的公司高管的個(gè)人數(shù)據(jù)。
該公司在一份聲明中也證實(shí)了這一漏洞,但他們強(qiáng)調(diào)沒(méi)有任何證據(jù)表明客戶數(shù)據(jù)在攻擊中也被泄露了出去,并補(bǔ)充說(shuō)業(yè)務(wù)還在繼續(xù)正常運(yùn)作。
The Register證實(shí),該公司的高層管理人員、創(chuàng)始人兼首席執(zhí)行官斯蒂芬-馬克斯、首席財(cái)務(wù)官李-威廉姆斯和首席運(yùn)營(yíng)官尼爾-威廉姆斯的護(hù)照和身份證掃描件都被竊取。
French Connection的聲明繼續(xù)說(shuō):"知道網(wǎng)站有漏洞后,公司立即采取了行動(dòng),暫停了所有受影響的系統(tǒng),并聘請(qǐng)第三方專家來(lái)協(xié)助解決這一情況。該公司現(xiàn)在正在積極努力,盡可能迅速和安全地恢復(fù)系統(tǒng),必要時(shí),也會(huì)進(jìn)行手動(dòng)修復(fù),確保公司能夠繼續(xù)運(yùn)營(yíng)。"
巴西醫(yī)療診斷公司Grupo Fleury在周二也被REvil勒索軟件攻擊,并在6月23日晚間宣布,它正在努力恢復(fù)運(yùn)營(yíng)。
據(jù)BleepingComputer報(bào)道,REvil要求獲得500萬(wàn)美元贖金之后才會(huì)向Grupo Fleury發(fā)送解密器。
從這兩次攻擊來(lái)談對(duì)Revil的看法
Digital Shadows公司的威脅情報(bào)分析師Jamie Hart對(duì)這兩起REvil攻擊事件的看法略有不同,他解釋說(shuō),F(xiàn)rench Connection公司的攻擊很可能是一個(gè)偶然事件,至少可以證明任何地方的任何公司都可以被攻破。
對(duì)Grupo Fleury的攻擊是REvil專門針對(duì)巴西大型公司進(jìn)行攻擊的一部分。哈特說(shuō),這個(gè)勒索軟件集團(tuán)告訴俄羅斯的OSINT Telegram頻道,他們想對(duì)巴西進(jìn)行報(bào)復(fù),但目前還不清楚原因。
哈特告訴Threatpost:"REvil(又名Sodinokibi)以Grupo Fleury為攻擊目標(biāo),在巴西繼續(xù)推進(jìn)他們的攻擊活動(dòng)。Revil在業(yè)內(nèi)是著名的數(shù)據(jù)盜竊團(tuán)伙,被盜的這些數(shù)據(jù)可能包括他們的病人和工作人員的個(gè)人身份信息(PII)和敏感的醫(yī)療信息,這可能對(duì)該組織極為不利。"
哈特補(bǔ)充說(shuō),如果REvil的勒索要求沒(méi)有得到滿足,這些數(shù)據(jù)很可能很快就會(huì)出現(xiàn)在一個(gè)數(shù)據(jù)泄密網(wǎng)站上。
SPHERE科技公司的創(chuàng)始人兼首席執(zhí)行官麗塔-古雷維奇向Threatpost解釋說(shuō),這種重點(diǎn)對(duì)內(nèi)部員工數(shù)據(jù)進(jìn)行攻擊而不是客戶信息的做法以前從未出現(xiàn)過(guò),這是一種新的攻擊方式。
Gurevich說(shuō):"幾年前,勒索軟件主要以消費(fèi)者為攻擊目標(biāo),但最近我們看到它轉(zhuǎn)向了企業(yè)領(lǐng)域。這些攻擊已經(jīng)變得更加復(fù)雜,從目前已知的使用大量電子郵件的釣魚(yú)策略過(guò)渡到魚(yú)叉式釣魚(yú)策略,這種策略具有高度的針對(duì)性,更難發(fā)現(xiàn),而且成功率高得多。"
雖然執(zhí)法部門在打擊Clop、惡意軟件Emotet和Colonial Pipeline的攻擊者DarkSide等組織方面取得了一些成功,但她補(bǔ)充說(shuō),狡猾的網(wǎng)絡(luò)犯罪分子可以輕易的獲得勒索軟件,這一方面也促進(jìn)了攻擊頻率的增加。
本月早些時(shí)候,REvil從一個(gè)核武器承包商那里竊取了美國(guó)的軍事文件,該勒索軟件團(tuán)伙還聲稱對(duì)JBS食品公司遭到的破壞性攻擊負(fù)責(zé)。
“勒索軟件揭示疲勞”是真的嗎?
這種頻繁出現(xiàn)的勒索軟件新聞?wù)谛纬尚戮W(wǎng)科技公司的Dirk Schrader所說(shuō)的 "勒索軟件披露疲勞"現(xiàn)象。
Schrader告訴Threatpost:"看來(lái)我們需要一個(gè)標(biāo)簽,如#ransomwarealertfatigue,或#raf,F(xiàn)rench Connection不是第一個(gè),也不會(huì)是最后一個(gè)受到攻擊的公司。不幸的是,一些公司、普通用戶,也許還有一些安全專業(yè)人員對(duì)安全并不在意。如今IT安全已經(jīng)處于一種高度警戒狀態(tài),而另外兩個(gè)公司似乎也已經(jīng)適應(yīng)了這個(gè)問(wèn)題,不再想改變他們應(yīng)對(duì)風(fēng)險(xiǎn)的方式"。
Gurevich表示同意,他說(shuō)聯(lián)邦政府和安全界都在共同努力,將公司的態(tài)度從消極應(yīng)對(duì)轉(zhuǎn)變到積極預(yù)防。
施拉德補(bǔ)充說(shuō):”那些重視網(wǎng)絡(luò)安全防御的組織應(yīng)該從應(yīng)對(duì)網(wǎng)絡(luò)殺傷鏈的早期步驟開(kāi)始,限制外部對(duì)基礎(chǔ)設(shè)施的偵察,這樣就可以減少或不使用信息來(lái)對(duì)其進(jìn)行網(wǎng)絡(luò)攻擊,抑制惡意軟件的交付攻擊,減少可利用的攻擊面,最后需要檢測(cè)安裝在設(shè)備上的任何文件,保障系統(tǒng)的完整性和正常運(yùn)行。