总部设在英国时尚品牌French Connection勒索软件集团已被证实Revil攻击。仅仅几个小时后,巴西医疗诊断公司Grupo Fleury宣布它也遭受了同样的网络攻击。
从这两起网络攻击事件中,我们可以看到世界上最危险的勒索软件威胁集团的攻击策略和动机。
这个疯狂的勒索软件团伙被称为Sodinokibi,它攻破了French Connection后端服务器窃取了公司高管的大量个人数据。
该公司在一份声明中也证实了这一漏洞,但他们强调没有证据表明客户数据在攻击中被泄露,并补充说,该业务仍在正常运行。
The Register公司高级管理人员、创始人兼首席执行官斯蒂芬证实-首席财务官李马克斯-威廉姆斯和首席运营官尼尔-威廉姆斯的护照和身份证扫描件被盗。
French Connection声明继续说:"知道网站有漏洞后,公司立即采取行动暂停所有受影响的系统,并聘请第三方专家协助解决这种情况。公司现在正在积极努力,尽快安全地恢复系统,必要时手动修复,以确保公司能够继续运行。"
巴西医疗诊断公司Grupo Fleury在周二也被REvil6月23日晚,勒索软件攻击宣布正在努力恢复运行。
据BleepingComputer报道,REvil在获得500万美元的赎金之前,它需要Grupo Fleury发送解密器。
从这两次攻击中谈对Revil的看法
Digital Shadows公司威胁情报分析师Jamie Hart对这两起REvil他解释说,攻击事件的观点略有不同,French Connection公司的攻击很可能是偶然的,至少可以证明任何地方的公司都可以被打破。
对Grupo Fleury的攻击是REvil一门攻击巴西大公司的一部分。哈特说,勒索软件集团告诉俄罗斯OSINT Telegram他们想报复巴西,但原因尚不清楚。
哈特告诉Threatpost:"REvil(又名Sodinokibi)以Grupo Fleury继续推击目标,他们继续在巴西推进攻击活动。Revil在业内是着名的数据盗窃团伙,被盗的这些数据可能包括他们的病人和工作人员的个人身份信息(PII)而敏感的医疗信息,这可能对组织极为不利。"
如果,哈特补充说REvil如果不满足勒索要求,这些数据很可能很快就会出现在数据泄密网站上。
SPHERE丽塔科技公司创始人兼首席执行官-古雷维奇向Threatpost解释说,这种专注于攻击内部员工数据而不是客户信息的做法以前从未出现过,这是一种新的攻击方式。
Gurevich说:"几年前,勒索软件主要针对消费者,但最近我们看到它已经转向了企业领域。这些攻击已经变得更加复杂,从使用大量电子邮件的已知钓鱼策略到鱼叉钓鱼策略,这是高度有针对性的,更难找到,成功率要高得多。"
尽管执法部门正在打击Clop、恶意软件Emotet和Colonial Pipeline的攻击者DarkSide她补充说,狡猾的网络犯罪分子很容易获得勒索软件,这也促进了攻击频率的增加。
本月早些时候,REvil勒索软件团伙还声称从核武器承包商那里窃取美国军事文件JBS食品公司负责破坏性攻击。
“勒索软件揭示疲劳”是真的吗?
这种频繁出现的勒索软件新闻正在形成一家新的网络技术公司Dirk Schrader所说的 "勒索软件披露疲劳"现象。
Schrader告诉Threatpost:"我们似乎需要一个标签,比如#ransomwarealertfatigue,或#raf,French Connection不是第一个,也不是最后一个受到攻击的公司。不幸的是,一些公司、普通用户和一些安全专业人员可能不关心安全。IT安全已经处于高度警惕的状态,其他两家公司似乎已经适应了这个问题,不再想改变他们应对风险的方式"。
Gurevich他同意联邦政府和安全界正在共同努力,将公司的态度从消极反应转变为积极预防。
施拉德补充说:”重视网络安全防御的组织应从处理网络杀伤链的早期步骤开始,限制基础设施外部侦察,减少或不使用信息进行网络攻击,抑制恶意软件的交付攻击,减少可用攻击面,最后检测安装在设备上的任何文件,确保系统的完整性和正常运行。
本文翻译自:https://threatpost.com/fcuk-fashion-medical-diagnostics-revil/167245/