信息來源：安全內(nèi)參

• 德國(guó)建材巨頭可耐福集團(tuán)遭到Black Basta勒索軟件襲擊，業(yè)務(wù)運(yùn)營(yíng)被擾亂，被迫關(guān)閉所有IT系統(tǒng)以隔離事件影響；
• 可耐福稱，目前所有工廠正常運(yùn)轉(zhuǎn)，所有業(yè)務(wù)離線進(jìn)行；
• Black Basta勒索軟件團(tuán)伙已在網(wǎng)站上將可耐福列為受害者，并放出了部分樣本數(shù)據(jù)。

前情回顧·勒索軟件大爆炸

• 印度地方洪水監(jiān)測(cè)系統(tǒng)遭勒索軟件攻擊，水文數(shù)據(jù)全部被加密

• 印度第二大航司遭勒索軟件攻擊，大量乘客滯留在機(jī)場(chǎng)

• 農(nóng)業(yè)機(jī)械巨頭愛科遭勒索攻擊，美國(guó)種植季拖拉機(jī)供應(yīng)受影響

安全內(nèi)參7月21日消息，德國(guó)建材巨頭可耐福集團(tuán)（Knauf Group）宣布已成網(wǎng)絡(luò)攻擊目標(biāo)。其業(yè)務(wù)運(yùn)營(yíng)被攻擊擾亂，迫使全球IT團(tuán)隊(duì)關(guān)閉了所有IT系統(tǒng)以隔離事件影響。

此次網(wǎng)絡(luò)攻擊發(fā)生在6月29日晚間。截至本文發(fā)布時(shí)，可耐福仍在開展取證調(diào)查、事件響應(yīng)及補(bǔ)救工作。

可耐福在網(wǎng)站主頁上發(fā)布的簡(jiǎn)短公告寫道，“我們目前正在努力減輕對(duì)我們的客戶和合作伙伴的影響。所有工廠正常運(yùn)轉(zhuǎn)，所有業(yè)務(wù)離線進(jìn)行。對(duì)于可能發(fā)生的交付過程中的任何不便或延遲，我們深表歉意?！?

根據(jù)外媒看到的郵件警告，作為攻擊響應(yīng)的一部分，可耐福的電子郵件系統(tǒng)已經(jīng)關(guān)閉，目前業(yè)務(wù)通信主要依靠手機(jī)和Microsoft Teams。

可耐福是一家總部位于德國(guó)的跨國(guó)建筑材料生產(chǎn)商，在全球墻板市場(chǎng)上擁有約81%的份額。

可耐福在全球多個(gè)國(guó)家擁有150處生產(chǎn)基地，也是美國(guó)可耐福絕熱材料公司及USG公司的所有者。

值得注意的是，可耐福絕熱材料公司也在網(wǎng)站上發(fā)布了關(guān)于網(wǎng)絡(luò)攻擊的通知，可見其同樣受到了影響。

Black Basta宣布對(duì)事件負(fù)責(zé)

雖然可耐福并未在公告中說明此次遭遇的具體攻擊類型，但從事件持續(xù)時(shí)間、影響和IT系統(tǒng)的恢復(fù)難度來看，這恐怕是一起勒索軟件攻擊。

事實(shí)上，名為Black Basta的勒索軟件團(tuán)伙已經(jīng)在其網(wǎng)站上發(fā)布公告，于7月16日將可耐福列為受害者。此舉也相當(dāng)于宣布對(duì)這次攻擊負(fù)責(zé)。

圖：Black Basta勒索門戶將可耐福列為攻擊受害者

該勒索軟件團(tuán)伙還公布了一批數(shù)據(jù)，據(jù)稱是攻擊期間從可耐福處竊取到的全部文件中的20%。目前已經(jīng)有超過350名訪問者訪問了這些文件。

圖：Black Basta泄露了20%的被盜文件

記者已經(jīng)看到電子郵件通信、用戶憑證、員工聯(lián)絡(luò)信息、生產(chǎn)文檔及ID掃描件等樣本。

既然沒有公布所有失竊文件，看起來惡意團(tuán)伙仍希望能通過談判獲取贖金。

Black Basta團(tuán)伙的崛起之路

Black Basta勒索軟件團(tuán)伙在2022年4月首度開展RaaS攻擊，并迅速憑借針對(duì)高調(diào)受害者的雙重勒索行為闖下名號(hào)。

根據(jù)早期展現(xiàn)出的知識(shí)能力和談判風(fēng)格來看，不少安全專家認(rèn)為Black Basta應(yīng)該是Conti改頭換面之后的新“馬甲”。

到2022年6月，Black Basta開始與Qbot（QuakBot）合作傳播其勒索軟件，同時(shí)開始投放Cobalt Strike并協(xié)助在受害者網(wǎng)絡(luò)內(nèi)橫向移動(dòng)。

另外，這群惡意黑客還專門為自己的勒索軟件制作了Linux版本，用于入侵運(yùn)行在Linux服務(wù)器上的VMware ESXi虛擬機(jī)。

參考資料：bleepingcomputer.com