尽管FBI近期成功追回了输油管道运营商ColonialPipeline向勒索软件DarkSide支付的赎金,但这显然并没有阻止勒索软件远离关键基础设施甚至核武器。近日,美国核武器承包商SolOriens遭遇了REvil勒索软件攻击。攻击者扬言要在不支付赎金的情况下向其他国家的军队泄露核武器的机密信息。据报道,REvil威胁受害者:“我们特此保留将所有相关文件和数据转发给我们选择的军事机构的权利。”总部位于新墨西哥州阿尔伯克基的SolOriens是美国能源部(DOE)的分包合同。该公司与美国国家核安全局(NNSA)合作开发核武器,上个月遭到勒索软件攻击,专家称说来自“无情”的REvil勒索软件RaaS团伙。据报道,SolOriens的网站至少从6月3日起就无法访问,但SolOriens官员向福克斯新闻和CNBC证实,该公司上个月发现了这次攻击。根据CNBC记者EamonJavers转发的一条推文,SolOriens发表声明称:“2021年5月,SolOriens检测到一起(勒索软件)网络安全事件。系统中捕获了某些文件。这些文件目前正在审查中,我们正在与第三方技术取证公司合作,以确定可能涉及的底层数据的范围。我们目前没有迹象表明此事件涉及客户机密或与安全相关。一旦调查结束,我们将努力通知有关个人和实体……”“正如Javers所指出的,我们不了解这家小公司(SolOriens)的业务,但根据该公司的职位发布网站上的职位要求,他们的业务是跟核武器相关的,他们的招聘要求是高级核武器系统人才,需要20年以上核武器研究经验的专家chasW80-4(W80是空射巡航导弹核弹头)。据LinkedInEnterprise信息显示,SolOriens是一家小型、高级咨询公司,专注于管理具有强大军事和空间应用潜力的先进技术和理念,并与国防部和能源部、航空航天承包商和技术部合作公司执行复杂的项目。专注于确保您拥有经过验证的技术来维持强大的国防。1.泄露了什么信息安全公司Emsisoft的威胁分析师和勒索软件专家BrettCallow透露,他发现有关SolOriens的内部信息已发布到REvil的暗网博客上。目前,暗网披露的泄露数据似乎并不涉及高度机密的军事机密。它只包括公司2020年9月的工资单,列出了少数员工的姓名、社会保险号码和季度工资。还有一份公司合同分类帐,以及一份关于工人培训计划的备忘录的一部分(备忘录顶部带有能源部和NNSA国防计划的徽标)。REvil(或对这次袭击负责的任何组织)是否能够获得有关美国核武器的更敏感、更机密的信息,还有待观察。但黑客可以从核武器承包商那里获得的任何信息都令人深感担忧。正如琼斯母亲报道的那样,参与该事件的NNSA负责维护和保护美国的核武器库存,并致力于军事核应用,以及其他高度敏感的任务。2、胆大包天的勒索集团REvilREvil敢于攻击美国核武器供应链公司并不奇怪,因为勒索集团向来以胆大包天着称。本周早些时候,全球最大的肉类加工商JBSFoods发表声明称,它已向REvil支付了价值1100万美元的赎金,REvil因REvil勒索软件攻击而被迫关闭在美国和澳大利亚的业务。商业。REvil不仅是最危险的勒索软件集团,也是最大胆、敢于对全球最大、最重要的组织发起攻击并索要天价赎金的勒索软件集团。4月,就在其引人注目的新产品发布前几个小时,REvil向苹果发出最后通牒,要求支付高达5000万美元的赎金。这是一个大胆的举动,即使对于臭名昭著的勒索软件即服务(RaaS)也是如此。REvil首先袭击了世界500强电子产品制造商广达,该公司也是苹果的供应商,并与苹果签订了大量苹果产品的生产合同,包括AppleWatch、AppleMacbookAir和Pro以及ThinkPad(联想集团).FireEye研究人员还报告称,SolarWinds供应链攻击的其中一名参与者与REvil/Sodinokibi勒索软件团伙有关,但这一点尚未得到证实。3.如何防御勒索软件?鉴于所有这些重大事件,分包商的网络安全措施是否应该足够严格以抵御REvil或其他网络攻击者?据报道,REvil指责受害者SolOriens,称分包商没有采取必要措施保护其员工的个人数据和合作伙伴公司的软件开发数据。尽管REvil嘲笑SolOriens没有采取足够的安全措施,但不幸的是,根据网络安全公司Sophos上周五发布的一份调查报告,没有两个犯罪集团以完全相同的方式部署RaaS勒索软件攻击。例如,在最近的一次攻击中,受害组织检测到针对特定服务器的大量入站RDP登录尝试失败,该服务器最终也成为攻击者的访问点。Sophos研究员Brandt指出:“在标准服务器上,RDP服务登录尝试失败的日志会滚动并覆盖最旧的数据,时间从几天到几周不等,具体取决于失败尝试的次数。”在这次攻击中,大量失败的RDP登录事件在短短五分钟内完全覆盖了之前的尝试。从这台服务器收集的数据显示,在五分钟内大约有35,000次失败的登录尝试,来自全球349个IP地址。”上图显示了攻击者每五分钟在35,000次暴力登录尝试中尝试次数最多的用户名(来源:Sophos)。“RDP是破坏网络的最常见方式之一,关闭对RDP的外部访问是IT管理员可以采取的最有效防御措施之一,”研究人员指出。不幸的是,鉴于REvil勒索软件的不同用户使用不同的技术手段,防御并不像禁用RDP那么简单。RDP并不是唯一的罪魁祸首,攻击者还可以通过其他面向Internet的服务获得初始访问权限。他们能够对其进行暴力破解或针对已知漏洞发起攻击,从而获得一些访问权限。在一个案例中,攻击者针对特定VPN服务器软件中的一个漏洞以获得初始访问权限,然后利用同一服务器上五年前的ApacheTomcat版本中的一个漏洞,允许攻击者创建一个新的管理员帐户。最后,在谈到REvil帮派提到的“所有必要的安全措施”时,Brandt说:“所有行业中各种规模的公司和组织都需要认真审视他们的基础设施,并采取一切必要的措施来解决几乎总是存在的问题导致这种攻击行为的根本问题。“在防火墙处关闭RDP等面向公众的服务,并在所有内部和外部服务(如VPN)上启用多因素身份验证,”他强调说。确保您的面向Internet的设备和服务器完全更新了已知错误的补丁或修复程序,即使这意味着要付出一些停机时间的代价。“虽然上述建议陈词滥调,但勒索软件一次又一次地利用这些安全问题,勒索软件攻击者从不停止寻找新方法来发现组织安全弱点,”布兰特指出。转载请通过安全牛获得授权(微信公众号id:gooann-sectv)】点此查看作者更多好文
