赎金软件的一周:富士康和兰特斯塔德是高调的受害者

2022-06-23 19:46:03来源:

高调组织在2020年12月7日至11日的一周内将受害者下降到赎金软件攻击,包括电子巨头Foxconn和招聘专家Randstad,因为赎金软件背后的犯罪团伙没有出现迹象。

富士康的墨西哥芯片Fab设施最初是在11月底的感恩周末被Doppelpaymer Gang攻击,并且由于经常关闭而被关闭,在攻击它的系统上攻击时,它会像往常发表的盗窃文件一样返回业务据报道,Doppelpaymer的泄漏网站 - 主要是无害的内部文件。攻击背后的网络罪犯要求赎金为3400万美元(27.6亿欧元/£2550)。

Foxconn攻击是在多个月内的第二个主要违反原始设备制造商(OEM)工厂。正如Gurucul的首席执行官Saryu Nayyar所指出的那样,这表明了Doppelpaymer等团伙的复杂性增加,越来越坦诚,越来越大的目标。

“组织需要避免成为下一个新闻的漏洞。用户教育,MFA [多因素认证]和实心的周长可以帮助攻击者进入,”Nayyar说。

“虽然内部,具有安全性分析的强大安全堆栈可以帮助识别违约并在攻击者窃取数据或加密系统之前减轻它。我们只希望国际执法社区将升至这一场所,尽其所有,因为这些网络罪犯没有展示自己的迹象。“

分析袭击事件,Point3安全战略副主席ChloéMessdaghi表示,富士康的攻击者已经进入了公司的运营系统,并且该案件强调了缺乏零信任的实践,以及差的数据备份政策。

“避免肆无忌惮的破坏兰沃沃船只可能导致的最佳方式是在适当的工作计划...重新审视和更新该账单至少季度 - 您的工具是一样的吗?你的人员是一样的吗?数据流动和监管要求是一样的吗?超过60天大的剧本必须至少是一点点发霉的。随着最近的攻击速度,更多的公司正在采用气隙的方法。

“在富士康的案例中,他们可能需要实际支付赎金,因为击球和停止生产是攻击者的梦想。在收入1720亿美元中,他们会剥夺3400万美元 - 这一巨大金额,但如果生产的击中,那可能是他们唯一的选择,“梅德拉希说。

ImmuniWeb的Ilia Kolochenko表示,谣言Doppelpaymer Gang损害了超过1,000个Foxconn的服务器,并删除了所有备份,如果是真实的,那么受害者部分的“绝大疏忽的明确指标”。

“[这是]任何网络安全保险将在这种情况下支付赔偿金的费用,而受害者可能会对IT和安全卖方负责其网络管理的赔偿,”Kolochenko说。

就像富士康的击中一样,对兰特斯塔德的攻击也跟随了现在熟悉的双击中剧本。基于荷兰的公司受到相对较新的eGregor赎金软件的损害,但是只有有限数量的服务器受到影响,并且业务不会中断。有趣的是,它看起来没有收到赎金券。

“迄今为止,我们的调查透露,eGregor集团在该公司在一份声明中表示,eGregor集团获得未经授权和非法访问我们的全球IT环境以及某些数据,特别是与我们在美国的业务有关的数据。

“他们现在发布了据称是该数据的子集。调查正在进行中,确定已访问的数据,包括个人数据,以便我们可以对识别和通知有关方面进行适当的行动。“

Point3的Messdaghi表示,与Foxconn相比,Randstad表现出优异的准备,确保如果它被赎金软件受到损害,其数据是安全的。

“我们指的是3-2-1方法:三个存储在两个介质和一个云存储提供程序中的数据副本,因此您可以从这三个位置中的任何一个恢复。避免备份系统上勒索软件的唯一方法是有一个计划,经常重新审视它,经常备份。这是一个很好的机会,这是兰特斯塔德的确切种类,“她说。

Cessdaghi还赞扬了兰特斯塔德,而不是使用“黑客”一词的eGregor Gang,认识到恶意网络犯罪分子和黑客社区之间的差异。

过去一周的其他值得注意的赎金软件攻击包括北美零售商kmart的罢工,温哥华的公共交通网络,译,都理解为egregor的工作。

关于eGregor的主题,本周Sophos的研究人员对街区的新小孩发表了广泛的研究,突出了其运营商使用的策略,技术和程序(TTP) - 怀疑是使用联盟,勒索沃特 - AS-服务(RAAS)模型。

正如许多其他研究人员所做的那样,Sophos与现在过错的迷宫赎金制造商的相似之处,例如使用Chacha和RSA加密算法,并突出显示与Sekhmet和Ryuk的其他连接。由公司的快速响应团队探测的一个事件看到运营商使用Cobalt Stretch,将文件复制到特定目录,C:/ Perflogs,以及使用SystemBC,恶意的Tor网络策略,在Ryuk攻击中观察到的相同行为。

Sephos高级安全研究员Sean Gallagher说:“Sophos的调查结果揭示了IT安全团队抵御赎金软件的攻击可能是多么挑战,因为赎金软件运营商经常依赖于多个商品恶意软件分销渠道来达到受害者,从而创建一个更佩戴的攻击配置文件更难预测和处理。它增加了每个勒索软件类型使用的策略,技术和程序的数量,使防御深入捕获攻击。

“防御深度方法有助于防止数据的盗窃和加密。鉴于eGregor背后的组声称如果没有支付赎金,则销售被盗数据,这是不足以让组织数据的良好备份作为赎金软件的缓解。

“阻止用于数据的常见的exfiltration路线 - 例如防止转矩连接 - 可以使窃取数据更加困难,但最好的防御是防止攻击者在您的网络中获得立足点。员工教育是关键,就像使用以人为主的威胁狩猎一样发现积极攻击“,”加拉尔说。

随着节日赛季的全面崛起,网络安全社区的关注已经转向2021年的内容,其中达到其销售发动机营销和业务发展副总裁Jim McGann的人。

McGann预测,在2020年表明,从攻击中恢复的2020年表现出了增加的复杂赎金瓶帮派将需要较近的时间和预算。

“网络攻击变得越来越聪明。犯罪分子正在花费增加停留时间来确定如何造成最具毁灭性,也寻求最敏感的内容,当被盗将对组织造成最大的损害时,导致赎金要求更高,“他说。

“最近袭击的赎金是飙升到数百万美元的飙升。组织将发现自己在这些袭击中恢复了重大预算,包括致力于恢复其业务运营的人员。“

与此同时,双重敲诈趋势将投入数据治理 - 随着日期软件攻击现在不断发展成为全面吹入的数据漏洞,组织必须加速他们的数据治理计划,表示McGann,这将需要他们知道他们的敏感数据持有,它所在的地方,以及它们如何保护它,以免在一般数据保护规则(GDPR)等法规中面临罚款。

这可能对网络安全和存储交叉口的影响可能会产生影响。McGann预测,从2021年,备份基础设施长期没有变化,将看到一个明显的变换。

“网络攻击已生成备份备份的重新焦点。它通常是从攻击中恢复的唯一解决方案。并且存在更新,更好的备份解决方案,该解决方案已扩展到网络恢复解决方案,提供复杂的分析,更智能的机器学习和孤立的空气差距,充分信心。

“目前正在利用已经经历了攻击的早期采用者和组织使用。McGann说,这些更好的备份/网络解决方案迅速成为行业标准。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章