信息來源:安全內(nèi)參
-
德國建材巨頭可耐福集團遭到Black Basta勒索軟件襲擊,業(yè)務(wù)運營被擾亂,被迫關(guān)閉所有IT系統(tǒng)以隔離事件影響;
-
可耐福稱,目前所有工廠正常運轉(zhuǎn),所有業(yè)務(wù)離線進行;
-
Black Basta勒索軟件團伙已在網(wǎng)站上將可耐福列為受害者,并放出了部分樣本數(shù)據(jù)。
前情回顧·勒索軟件大爆炸
安全內(nèi)參7月21日消息,德國建材巨頭可耐福集團(Knauf Group)宣布已成網(wǎng)絡(luò)攻擊目標。其業(yè)務(wù)運營被攻擊擾亂,迫使全球IT團隊關(guān)閉了所有IT系統(tǒng)以隔離事件影響。
此次網(wǎng)絡(luò)攻擊發(fā)生在6月29日晚間。截至本文發(fā)布時,可耐福仍在開展取證調(diào)查、事件響應(yīng)及補救工作。
可耐福在網(wǎng)站主頁上發(fā)布的簡短公告寫道,“我們目前正在努力減輕對我們的客戶和合作伙伴的影響。所有工廠正常運轉(zhuǎn),所有業(yè)務(wù)離線進行。對于可能發(fā)生的交付過程中的任何不便或延遲,我們深表歉意。”
根據(jù)外媒看到的郵件警告,作為攻擊響應(yīng)的一部分,可耐福的電子郵件系統(tǒng)已經(jīng)關(guān)閉,目前業(yè)務(wù)通信主要依靠手機和Microsoft Teams。
可耐福是一家總部位于德國的跨國建筑材料生產(chǎn)商,在全球墻板市場上擁有約81%的份額。
可耐福在全球多個國家擁有150處生產(chǎn)基地,也是美國可耐福絕熱材料公司及USG公司的所有者。
值得注意的是,可耐福絕熱材料公司也在網(wǎng)站上發(fā)布了關(guān)于網(wǎng)絡(luò)攻擊的通知,可見其同樣受到了影響。
Black Basta宣布對事件負責
雖然可耐福并未在公告中說明此次遭遇的具體攻擊類型,但從事件持續(xù)時間、影響和IT系統(tǒng)的恢復難度來看,這恐怕是一起勒索軟件攻擊。
事實上,名為Black Basta的勒索軟件團伙已經(jīng)在其網(wǎng)站上發(fā)布公告,于7月16日將可耐福列為受害者。此舉也相當于宣布對這次攻擊負責。
圖:Black Basta勒索門戶將可耐福列為攻擊受害者
該勒索軟件團伙還公布了一批數(shù)據(jù),據(jù)稱是攻擊期間從可耐福處竊取到的全部文件中的20%。目前已經(jīng)有超過350名訪問者訪問了這些文件。
圖:Black Basta泄露了20%的被盜文件
記者已經(jīng)看到電子郵件通信、用戶憑證、員工聯(lián)絡(luò)信息、生產(chǎn)文檔及ID掃描件等樣本。
既然沒有公布所有失竊文件,看起來惡意團伙仍希望能通過談判獲取贖金。
Black Basta團伙的崛起之路
Black Basta勒索軟件團伙在2022年4月首度開展RaaS攻擊,并迅速憑借針對高調(diào)受害者的雙重勒索行為闖下名號。
根據(jù)早期展現(xiàn)出的知識能力和談判風格來看,不少安全專家認為Black Basta應(yīng)該是Conti改頭換面之后的新“馬甲”。
到2022年6月,Black Basta開始與Qbot(QuakBot)合作傳播其勒索軟件,同時開始投放Cobalt Strike并協(xié)助在受害者網(wǎng)絡(luò)內(nèi)橫向移動。
另外,這群惡意黑客還專門為自己的勒索軟件制作了Linux版本,用于入侵運行在Linux服務(wù)器上的VMware ESXi虛擬機。
參考資料:bleepingcomputer.com