希腊天然气公司遭受勒索软件攻击
发布时间:
2022-08-28
来源:
作者:
访问量:
14
希腊最大的天然气经销商DESFA证实,其遭受了网络攻击,造成了有限范围内的数据泄露和IT系统中断。DESFA停用了许多在线服务,以保护客户数据,相关服务正在逐步恢复正常运行。该事件不会影响天然气供应,所有输入和输出点均以正常容量运行。
黑客试图渗透DESFA的网络,但由于其IT团队的快速反应,攻击受到阻止。网络入侵的范围是有限的,一些文件和数据被访问并可能泄露。
对此DESFA在8月20日周六发布声明表示,DESFA的部分IT基础设施遭到了网络犯罪分子的网络攻击,攻击者试图非法访问电子数据,对某些系统的可用性造成了一定影响,并且可能会泄露一些目录和文件。
DESFA已设法确保并继续以安全可靠的方式运行国家天然气系统(NNGS)。NNGS的管理继续顺利运行,DESFA继续安全、充足地向该国所有出入境点供应天然气。
DESFA正在调查攻击的根本原因,已经动员了几位技术专家来帮助解决该问题,以及尽快让系统恢复正常运行。为了保护客户和合作伙伴,DESFA主动停用了大部分IT服务,现在正在逐步将IT系统恢复到正常运行。
DESFA已通知了所有相关当局和组织,并继续与数字治理部、希腊数据保护局、希腊警察网络犯罪部门、希腊国防总参谋部、以及环境与能源监管局密切合作,以解决此问题并尽量减少任何可能的影响。DESFA坚持不与网络犯罪分子进行交流,不会就赎金支付进行谈判。
DESFA是希腊的天然气输送系统运营商,成立于2007年3月30日,是DEPA的子公司。除了传输系统,该公司还经营希腊的天然气配送网络以及Revithoussa液化天然气。
8月19日周五,Ragnar Locker勒索软件组织在其暗网数据泄露网站上泄露了DESFA的数据样本及被盗数据列表,证实了此次攻击。泄露的数据样本不包含机密信息。
Ragnar Locker在其暗网上表示,DESFA的系统中存在多个安全漏洞,会导致公司的敏感数据受到损害。Ragnar Locker已将此类漏洞通知了DESFA,然而并没有收到回应。因此Ragnar Locker发布了从DESFA网络下载的数据列表,并威胁声称,如果DESFA没有在规定时间内采取行动,也没有联系威胁行为者以解决安全问题,将发布文件列表中包含的所有文件。
Ragnar Locker自2019年12月开始运营,针对葡萄牙能源公司EDP、日本游戏开发商Capcom、中国台湾内存制造商ADATA等进行了多次攻击。Ragnar Locker在2022年仍然保持活跃,尽管活动频率与过去相比有所下降。
Ragnar Locker勒索软件组织使用各种策略来初步破坏目标。与许多其他勒索软件组织一样,Ragnar Locker攻击者尝试暴力破解密码、使用被盗凭据、或利用暴露于互联网的服务(例如RDP),以获得对目标网络的初始访问权限,随后攻击者寻找获得更高权限并在网络上横向移动的方法。
为了提升权限,攻击者利用Windows COM Aggregate Marshaler中的CVE-2017-0213漏洞。以提升的权限运行任意代码。在实现权限提升后,攻击者有时会部署带有Windows XP映像的VM虚拟机以逃避检测,以这种方式早期使用虚拟机映像来运行勒索软件加密攻击。
Ragnar Locker攻击者在侦察阶段后,手动部署勒索软件有效负载,以加密受害者的系统,帮助发现网络资源、公司备份和各种其他敏感文件,以进行数据泄露。
该勒索软件组织还频繁切换有效负载模糊技术,以逃避检测,以及使用自定义打包算法和加密受害者系统上部署的Windows XP虚拟机文件。
在经过侦察和预部署阶段后,Ragnar Locker攻击者投放了一个高度针对性的勒索软件可执行文件,该可执行文件添加了一个自定义的RGNR_扩展名,其中是计算机NETBIOS名称的哈希值。
该勒索软件具有嵌入式RSA-2048密钥,还会在加密系统上释放自定义勒索信件。Ragnar Locker勒索信件包括受害者的公司名称、Tor站点链接、以及勒索软件组织发布受害者数据的数据泄露网站。
FBI报告称,截至2022年1月,Ragnar Locker已攻击了美国10个关键基础设施领域至少52个组织的网络,包括关键制造业、能源、金融服务、政府、以及IT部门的实体。Ragnar Locker勒索软件攻击者经常更改模糊技术,以避免被发现。
过去几年中,针对关键基础设施组织的勒索软件攻击引起了执法部门越来越多的关注。因此许多勒索软件组织选择避开针对关键基础设施组织的攻击,然而Ragnar Locker攻击者却走上了不同的道路,采用了其他组织也使用的双重勒索方法,要求支付赎金以换取解密文件,同时收取不公开被盗数据的费用。与其他勒索软件组织一样,Ragnar Locker在暗网上有一个泄密网站,在该网站上发布受害者列表,如果不满足其要求,将发布被盗数据。
Ragnar Locker加密所有感兴趣的可用文件。Ragnar Locker不是选择要加密的文件,而是选择不加密的文件夹。采用这种方法可以让计算机继续正常运行,而恶意软件会加密具有已知和未知扩展名的文件,其中包含对受害者有价值的数据。
多年来,联邦调查局一直不鼓励受害者支付赎金,并要求受害组织报告感染情况,即使其决定支付赎金。这样做可以为调查和分析人员提供追踪勒索软件攻击者所需的关键信息,根据美国法律追究其责任,并防止未来的攻击。
此次攻击发生在欧洲天然气供应商的艰难时刻,欧洲大陆所有国家都决定突然减少对俄罗斯天然气的依赖,这不可避免将产生问题。预计即将到来的冬季将受到短缺、停电、配给和能源价格飙升的困扰,使消费者更容易受到针对天然气供应商的勒索软件攻击。
FBI建议采取以下缓解措施:
- 离线备份关键数据;
- 确保关键数据的副本位于云端或外部硬盘驱动器或存储设备上;
- 保护备份,并确保数据无法从所在系统访问进行修改或删除;
- 使用具有强密码的多重身份验证,包括远程访问服务;
- 保持计算机、设备和应用程序的补丁在最新状态;
- 监控有关泄露VPN登录凭据的网络威胁报告,以及更改密码和设置;
- 为从组织外部收到的电子邮件添加电子邮件提示;
- 禁用未使用的远程访问/RDP端口,并监控远程访问/RDP日志;
- 审核具有管理权限的用户账户,并以最低权限配置访问控制;
- 实施网络分段。
参考资源:
【1】https://www.desfa.gr/en/press-center/press-releases/anakoinwsh
【2】https://www.bleepingcomputer.com/news/security/greek-natural-gas-operator-suffers-ransomware-related-data-breach/
【3】FBI, TLP:WHITE Flash, RangnarLocker Ransomware Indicators of Compromise
上一条:
下一条:
相关资讯
