勒索软件击中自动柜员机巨头迪博尔德·尼克斯多夫

2020-05-12 04:12:00

向银行和零售商提供自动柜员机(ATM)和支付技术的主要供应商DieboldNixdorf最近遭遇了一次勒索软件攻击,扰乱了一些业务。该公司表示,黑客从未接触过其自动取款机或客户网络,入侵只影响了其公司网络。

总部设在俄亥俄州坎顿的迪博尔德[纽约证券交易所代码:DBD]目前是美国最大的自动取款机供应商,估计占全球自动取款机市场的35%。这家拥有3.5万名员工的公司还生产许多零售商使用的销售点系统和软件。

据迪博尔德称,4月25日(周六)晚,该公司安全团队发现其公司网络出现异常行为。怀疑是勒索软件攻击,迪博尔德表示,它立即开始断开该网络上的系统,以遏制恶意软件的传播。

消息人士告诉KrebsOnSecurity,迪博尔德的回应影响了该公司100多名客户的服务。迪博尔德表示,该公司对攻击的反应确实扰乱了自动处理现场服务技术人员请求的系统,但该事件并未影响客户网络或普通公众。

“迪博尔德已经确定恶意软件的传播已经得到控制,”迪博尔德在一份提供给KrebsOnSecurity的书面声明中说。他说:“事件并没有影响自动柜员机、客户网络或一般市民,对我们的业务亦没有重大影响。不幸的是,网络犯罪是所有公司面临的持续挑战。迪博尔德·尼克斯多夫非常重视我们系统和客户服务的安全性。我们的领导层已经亲自与客户联系,让他们了解情况以及我们是如何解决这一问题的。“。

一项调查确定入侵者安装了ProLock勒索软件,专家表示,这是一种相对不常见的勒索软件菌株,在过去几个月里经历了多个名称和迭代。

例如,直到最近,ProLock还更广为人知的名称是“PwndLocker”,这是感染伊利诺伊州拉萨尔县服务器的勒索软件的名称。在三月份。但PwndLocker背后的恶棍在Emsisoft的安全专家发布了一种工具后,重新命名了他们的恶意软件,该工具可以让PwndLocker受害者在不支付赎金的情况下解密他们的文件。

迪博尔德声称没有支付袭击者要求的赎金,尽管该公司不愿讨论要求的金额。但beepingcomputer的劳伦斯·艾布拉姆斯(Lawrence Abrams)表示,对ProLock受害者的赎金要求通常在六位数之间,从17.5万美元到66万美元以上不等,具体取决于受害者网络的规模。

Emsisoft首席技术官法比安·沃萨尔(Fabian Wosar)表示,如果迪博尔德关于不向袭击者付款的说法属实,那可能是最好的:那是因为目前版本的ProLock解密工具会损坏较大的文件,如数据库文件。

幸运的是,Emsisoft确实提供了一个工具,可以修复解密器,以便正确恢复被ProLock扣为人质的文件,但它只对已经向ProLock背后的骗子支付赎金的受害者有效。

沃萨说:“我们确实有一个工具可以修复解密器中的一个漏洞,但除非你有勒索软件作者的解密密钥,否则它不会起作用。”

BleepingComputer的艾布拉姆斯说,周六晚上对迪博尔德发动攻击的时间相当常见,勒索软件供应商倾向于等到周末才发动攻击,因为这通常是大多数组织手头技术人员数量最少的时候。顺便说一句,出于同样的原因,周末也是绝大多数自动取款机掠夺攻击发生的时间。

艾布拉姆斯说:“周五和周六晚上的下班时间很大,因为他们想在没有人的情况下扣动[勒索软件]扳机。”

许多勒索软件团伙已经开始在启动勒索软件之前窃取受害者的敏感数据,作为一种虚拟的大棒,用来对付那些不立即默许赎金要求的受害者。

有了受害者的数据-或者关于受害者公司的合作伙伴或客户的数据-攻击者就可以威胁说,如果受害者拒绝付款,他们就会公布或出售这些信息。事实上,一些较大的勒索软件组织就是这样做的,他们不断更新互联网和黑暗网络上的博客,公布从拒绝付费的受害者那里窃取的姓名和数据。

到目前为止,ProLock背后的恶棍还没有推出自己的博客。但艾布拉姆斯表示,背后的犯罪组织已经表示,他们至少在朝着这个方向发展,他指出,在拉萨勒县袭击事件发生后,他与该组织的沟通中,他们向他发送了一张图像和一份文件夹列表,表明他们访问了受害者的敏感数据。

艾布拉姆斯说:“自从去年迷宫勒索软件组织开始公布受害者的姓名和数据以来,我就一直在这么说:现在,每一次勒索软件攻击都必须被视为数据泄露。”