勒索软件团伙向阿根廷ISP索要750万美元
本帖最后由 3wthx 于 2020-7-21 19:14 编辑一个勒索软件团伙感染了阿根廷最大的互联网服务提供商之一阿根廷电信公司的内部网络,现在要求支付750万美元的赎金以解锁加密文件。
该事件发生在周末,即7月18日星期六,被认为是阿根廷最大的黑客之一。
ISP内部的消息称,黑客在设法控制了一个内部的Domain Admin后,对公司的网络造成了广泛的破坏,他们从那里向超过18000个工作站传播并安装了他们的勒索软件有效载荷。
该事件并没有导致互联网连接下降的ISP客户,也没有影响固定电话或有线电视服务;然而,阿根廷电信公司的许多官方网站自周六以来一直处于瘫痪状态。
自攻击事件发生以来,目前已有多名电信员工在社交媒体上分享了此次事件的细节,以及该ISP如何处理危机。
根据网上分享的图片,该ISP似乎已经马上发现了入侵事件,并通过内部警报积极警告员工限制与企业网络的互动,不要连接到其内部的VPN网络,也不要打开包含档案文件的邮件。
https://external-30160.picsz.qpic.cn/7d74a2aa646625486cc164613c1867d2
https://external-30160.picsz.qpic.cn/de3f117f2cda75fcc7e111160c811879
根据一条现已被删除的推文显示,攻击者还被确认为REvil(Sodinokibi)勒索软件团伙,该勒索软件团伙的黑暗门户网站 -- 受害者被引导到该页面进行支付。
这个网页目前显示的赎金需求为109345.35 门罗币(约合753万美元),三天后这个金额将翻倍,这也是今年勒索软件攻击中最大的赎金需求之一。
https://external-30160.picsz.qpic.cn/65519e342932d80e619bf18ed35e3ef3
当地媒体联系阿根廷电信公司时,该公司并未对该事件发表评论,也没有说明是否打算支付赎金要求。
当地媒体还报道称,ISP认为黑客的入侵点是其一名员工收到的恶意邮件附件,但这一般不符合REvil团伙的正常作案手法。
根据安全公司Advanced Intel的报告,在过去的一年里,REvil团伙专门进行基于网络的入侵,以未打补丁的网络设备为目标,作为进入受害组织的入口,然后再通过公司的网络横向扩散。
过去,REVil运营商将Pulse Secure和Citrix VPN和企业网关系统作为切入点。
在周日的一次谈话中,威胁情报公司Bad Packets已经告诉ZDNet,阿根廷电信公司不仅运行了Citrix VPN服务器,而且在提供补丁后的几个月里,还运行了一个易受CVE-2019-19781安全漏洞影响的Citrix实例。
一些安全研究人员将矛头指向了VirusTotal网络反病毒扫描器上上传的两个文件,认为这两个文件被用于阿根廷电信的攻击,不过我们无法立即验证这一说法。
REvil勒索软件团伙还维护着一个黑暗门户网站,在那里泄露它从受感染主机上窃取的数据,以防公司不支付。在撰写本文时,REvil "泄露网站 "并没有将阿根廷电信列为REvil团伙计划泄露文件的受害组织之一。
这也是REvil团伙第二次针对互联网服务商网络的攻击。5月,REvil团伙还针对斯里兰卡的大型固定电话供应商斯里兰卡电信公司。
我去。。。
页:
[1]