2020年3月,KrebsOnSecurity向瑞典安全巨头Gunnebo Group发出警报,称黑客侵入了其网络,并将访问权限出售给了一个专门部署勒索软件的犯罪集团。今年8月,Gunnebo表示,它已成功挫败了一次勒索软件攻击,但本周有消息称,入侵者窃取并在网上发布了数万份敏感文件-包括客户银行金库和监控系统的原理图。
Gunnebo集团是一家瑞典跨国公司,为全球各种客户提供物理安全保障,包括银行、政府机构、机场、赌场、珠宝店、税务机构,甚至核电站。该公司在25个国家开展业务,员工超过4000人,年收入数十亿美元。
根据总部位于威斯康星州密尔沃基的网络情报公司Hold Security的提示,KrebsOnSecurity在3月份告诉Gunnebo,一名恶意黑客和一个专门部署勒索软件的网络犯罪集团之间进行了一笔金融交易。这笔交易包括远程桌面协议(RDP)账户的凭证,显然是由Gunnebo Group的一名员工设立的,他希望远程访问公司的内部网络。
五个月后,Gunnebo透露,它遭受了针对其IT系统的网络攻击,迫使内部服务器关闭。尽管如此,该公司表示,其快速反应阻止了入侵者在其系统中传播勒索软件,事件的总体持久影响微乎其微。
本周早些时候,瑞典通讯社Dagens Nyheter证实,黑客最近在网上发布了至少3.8万份从Gunnebo的网络中窃取的文件。爆料的记者莱纳斯·拉尔森(Linus Larsson)表示,被黑客攻击的材料是在9月下半月上传到公共服务器的,目前还不知道可能有多少人获得了访问它的权限。
拉尔森援引Gunnebo首席执行官斯特凡·赛伦(Stefan Syrén)的话说,公司从未考虑过支付攻击者要求的赎金,以换取不公布内部文件。更重要的是,Syrén似乎淡化了暴露的严重性。
据报道,这位首席执行官说:“我明白你可以把图纸视为敏感的,但我们不会自动认为它们是敏感的。”例如,当涉及到公共环境中的相机时,一半的重点是它们应该是可见的,因此带有相机放置本身的图形本身不是很敏感。
本文作者在Twitter上发布了Gunnebo的联系请求后,KrebsOnSecurity收到了Gunnebo的客户经理Rasmus Jansson的来信,他专门保护客户端系统免受电磁脉冲(EMP)攻击或破坏,即可能损坏电气设备的短时间能量爆发。
Jansson说,他将被盗的凭证转给了公司的IT专家,但他不知道公司采取了什么回应行动。今天通过电话联系到了詹森,他说他在8月份离开了公司,就在Gunnebo披露了被挫败的勒索软件攻击的时候。他拒绝对敲诈勒索事件的细节发表评论。
勒索软件攻击者通常在目标网络内花费数周或数月的时间,然后尝试在整个网络中部署加密服务器和台式机系统的恶意软件,除非且直到满足赎金要求。
这是因为获得最初的立足点很少是攻击的困难部分。事实上,许多勒索软件集团现在这方面的财富如此之多,以至于他们已经开始聘请外部渗透测试人员来执行艰难的工作,将最初的立足点升级为对受害者的网络和任何数据备份系统的完全控制-这一过程可能非常耗时。
但在推出他们的勒索软件之前,这些敲诈勒索者已经成为一种普遍的做法,尽可能多地卸载敏感和专有数据。在某些情况下,这允许入侵者获利,即使他们的恶意软件不知何故无法完成其工作。在其他情况下,受害者被要求支付两个勒索要求:一个是为了解锁加密系统的数字密钥,另一个是为了换取不发布、拍卖或以其他方式交易任何被盗数据的承诺。
虽然当一家物理安全公司最终将其所有机密发布在网上似乎具有讽刺意味,但现实是,勒索软件集团的一些最大目标仍然是那些可能不会将网络安全或信息系统作为其主要关注或业务的公司-无论这些技术可能在多大程度上依赖于这些技术。
事实上,坚持认为网络安全和物理安全以某种方式分开的公司似乎是勒索软件行为者最喜欢的目标之一。上周,一名俄罗斯记者在YouTube上发布了一段视频,声称是对Revil/Sodinokibi勒索软件系列背后的网络罪犯的采访,这是一个特别咄咄逼人的犯罪集团的杰作,该集团是近年来一些规模最大、代价最高的赎金攻击的幕后黑手。
在视频中,Revil代表表示,该组织最想要的目标是农业公司、制造商、保险公司和律师事务所。这位Revil演员声称,平均而言,大约三分之一的受害者同意支付敲诈勒索费用。
网络安全威胁情报公司英特尔471的首席执行官马克·阿雷纳(Mark Arena)表示,虽然人们可能会忍不住认为,专门从事信息安全的公司通常比物理安全公司拥有更好的网络安全做法,但很少有组织深入了解他们的对手。英特尔471已经在这里发布了对这段视频的分析。
Arena表示,这是许多托管服务提供商(MSP)的一个特别严重的缺点,这些公司为成百上千的客户提供外包安全服务,否则这些客户可能无力聘请网络安全专业人员。
“严酷而不幸的现实是,许多安保公司的安全都是狗屎,”Arena说。“大多数公司往往对他们面临的威胁缺乏持续和最新的了解。”