時尚品牌公司和醫療診斷公司被Revil攻擊
總部設在英國的時尚品牌French Connection對外證實它已經遭到了來自勒索軟件集團Revil的攻擊。僅僅幾個小時后,巴西醫療診斷公司Grupo Fleury對外宣布它也遭遇了同樣的網絡攻擊。
從這兩起網絡攻擊事件可以看到目前世界上最危險的勒索軟件威脅集團的攻擊戰略和攻擊動機。
這個瘋狂作案的勒索軟件團伙,叫做Sodinokibi,它攻破了French Connection的后端服務器,竊取了大量的公司高管的個人數據。
該公司在一份聲明中也證實了這一漏洞,但他們強調沒有任何證據表明客戶數據在攻擊中也被泄露了出去,并補充說業務還在繼續正常運作。
The Register證實,該公司的高層管理人員、創始人兼首席執行官斯蒂芬-馬克斯、首席財務官李-威廉姆斯和首席運營官尼爾-威廉姆斯的護照和身份證掃描件都被竊取。
French Connection的聲明繼續說:"知道網站有漏洞后,公司立即采取了行動,暫停了所有受影響的系統,并聘請第三方專家來協助解決這一情況。該公司現在正在積極努力,盡可能迅速和安全地恢復系統,必要時,也會進行手動修復,確保公司能夠繼續運營。"
巴西醫療診斷公司Grupo Fleury在周二也被REvil勒索軟件攻擊,并在6月23日晚間宣布,它正在努力恢復運營。
據BleepingComputer報道,REvil要求獲得500萬美元贖金之后才會向Grupo Fleury發送解密器。
從這兩次攻擊來談對Revil的看法
Digital Shadows公司的威脅情報分析師Jamie Hart對這兩起REvil攻擊事件的看法略有不同,他解釋說,French Connection公司的攻擊很可能是一個偶然事件,至少可以證明任何地方的任何公司都可以被攻破。
對Grupo Fleury的攻擊是REvil專門針對巴西大型公司進行攻擊的一部分。哈特說,這個勒索軟件集團告訴俄羅斯的OSINT Telegram頻道,他們想對巴西進行報復,但目前還不清楚原因。
哈特告訴Threatpost:"REvil(又名Sodinokibi)以Grupo Fleury為攻擊目標,在巴西繼續推進他們的攻擊活動。Revil在業內是著名的數據盜竊團伙,被盜的這些數據可能包括他們的病人和工作人員的個人身份信息(PII)和敏感的醫療信息,這可能對該組織極為不利。"
哈特補充說,如果REvil的勒索要求沒有得到滿足,這些數據很可能很快就會出現在一個數據泄密網站上。
SPHERE科技公司的創始人兼首席執行官麗塔-古雷維奇向Threatpost解釋說,這種重點對內部員工數據進行攻擊而不是客戶信息的做法以前從未出現過,這是一種新的攻擊方式。
Gurevich說:"幾年前,勒索軟件主要以消費者為攻擊目標,但最近我們看到它轉向了企業領域。這些攻擊已經變得更加復雜,從目前已知的使用大量電子郵件的釣魚策略過渡到魚叉式釣魚策略,這種策略具有高度的針對性,更難發現,而且成功率高得多。"
雖然執法部門在打擊Clop、惡意軟件Emotet和Colonial Pipeline的攻擊者DarkSide等組織方面取得了一些成功,但她補充說,狡猾的網絡犯罪分子可以輕易的獲得勒索軟件,這一方面也促進了攻擊頻率的增加。
本月早些時候,REvil從一個核武器承包商那里竊取了美國的軍事文件,該勒索軟件團伙還聲稱對JBS食品公司遭到的破壞性攻擊負責。
“勒索軟件揭示疲勞”是真的嗎?
這種頻繁出現的勒索軟件新聞正在形成新網科技公司的Dirk Schrader所說的 "勒索軟件披露疲勞"現象。
Schrader告訴Threatpost:"看來我們需要一個標簽,如#ransomwarealertfatigue,或#raf,French Connection不是第一個,也不會是最后一個受到攻擊的公司。不幸的是,一些公司、普通用戶,也許還有一些安全專業人員對安全并不在意。如今IT安全已經處于一種高度警戒狀態,而另外兩個公司似乎也已經適應了這個問題,不再想改變他們應對風險的方式"。
Gurevich表示同意,他說聯邦政府和安全界都在共同努力,將公司的態度從消極應對轉變到積極預防。
施拉德補充說:”那些重視網絡安全防御的組織應該從應對網絡殺傷鏈的早期步驟開始,限制外部對基礎設施的偵察,這樣就可以減少或不使用信息來對其進行網絡攻擊,抑制惡意軟件的交付攻擊,減少可利用的攻擊面,最后需要檢測安裝在設備上的任何文件,保障系統的完整性和正常運行。
本文翻譯自:https://threatpost.com/fcuk-fashion-medical-diagnostics-revil/167245/
