化学分布公司Brenntag以440万美元的比特币支付了$ 44万赎金,以暗中勒索Ware Gang以接收加密文件的解密器,并防止威胁演员公开泄露被盗数据。
Brenntag是一家世界领先的化学配送公司,总部位于德国,但在670多个网站上有超过17,000名员工。
据ICS Top 100 Top 100 Catheration Distributors报道,Brenntag是北美销售第二大的。
在5月初,Brenntag遭受了兰姆制造器攻击,瞄准了他们的北美部门。作为此次攻击的一部分,威胁演员在网络上加密设备并窃取未加密的文件。
通过匿名源与BleepingComputer共享的信息,Darkside Ransomware集团声称在攻击期间窃取了150GB的数据。
为了证明他们的索赔,ransomware gang创建了一个私有数据泄漏页面,其中包含了一些文件类型的描述和一些文件的屏幕截图的描述。
Darkside最初要求133.65比特币赎金,当时约为750万美元。但是,在谈判之后,BleepingComputer被告知,赎金需求下降到240万美元,这是两天前的报酬。
从与BleepingComputer共享的比特币地址,我们确认Brenntag于5月11日向攻击者发送了赎金。
今天,Brenntag与BleepingComputer共享了一份声明,确认他们遭受了安全事件,但并未完全陈述这是一个赎金软件攻击。
" Brenntag North America目前正在努力解决有限的信息安全事件," Brenntag告诉BleepingComputer。
"一旦我们了解到这一事件,我们就会从网络中断开受影响的系统,以包含威胁。"
"此外,第三方网络安全和法医专家立即参与帮助调查。我们还告知执法这一事件。"
Darkside是一个赎金软件服务(RAAS)操作,它是与第三方附属公司或黑客负责获得访问网络和加密设备的黑客的赎金软件开发人员合作伙伴。
作为这种安排的一部分,核心黑暗团队赢得了20-30%的赎金支付,其余的是进行袭击的联盟伙伴关系。
大多数赎金软件谈判的条件之一是,联盟律师披露他们如何获得受害者的访问权限。这可能以多页安全审核报告的形式或在Tor聊天屏幕中简单的简单段落解释了他们如何获得访问权限。
在这种特殊情况下,深度联盟者声称在购买被盗凭证后已经进入网络。但是,黑暗的联盟公司不知道最初获得凭证。
Ransomware团伙和其他威胁演员通常使用暗网市场购买被盗凭证,特别是远程桌面凭据的凭据。
上个月,BleepingComputer报告了最大的RDP市场,UAS,遭遇违约表明,在过去的三年中,他们可以获得130万被盗的凭据。
虽然这是一个昂贵的课程,但遗憾的是,攻击是对网络上所有登录的多因素身份验证的重要性,并将所有远程桌面服务器放在VPN后面的重要性。
如果为帐户登录启用了MFA,则虚暗的附属公司不太可能获得对网络的访问权限。