企業(yè)旅行社巨頭CWT或已支付450萬美元勒索軟件贖金
CWT(Carlson Wagonlit Travel)是一家擁有全球客戶的企業(yè)旅行社領域的巨頭,在上周末勒索軟件攻擊之后,CWT可能已向未知黑客支付了450萬美元的費用。
獨立的惡意軟件獵人@JAMESWT上周四發(fā)布了一條推文,稱攻擊CWT的惡意軟件樣本已于7月27日上傳到VirusTotal;他還提供了勒索軟件信息,表明該勒索軟件是Ragnar Locker。
@JAMESWT還報道了勒索軟件攻擊者向CWT索要414比特幣的贖金,按當前匯率計算約為450萬美元。CWT發(fā)言人拒絕透露贖金是否已付,攻擊的任何技術細節(jié)等信息。
但是本周末CWT在媒體聲明中表示攻擊影響已經(jīng)結(jié)束:“我們可以確認,作為預防措施,暫時關閉我們的系統(tǒng)后,我們的系統(tǒng)恢復了在線狀態(tài),該事件現(xiàn)在已經(jīng)停止。”
目前還不清楚CWT如此快速恢復系統(tǒng)是否是因為支付了贖金,但可以確定的是,該事件的潛在影響力非常廣泛:CWT表示,它為33%的《財富》500強公司和不計其數(shù)的小型公司提供旅行服務。根據(jù)@JAMESWT上傳的贖金記錄,黑客聲稱已經(jīng)下載了公司2TB的數(shù)據(jù),包括“賬單信息、保險案例、財務報告、業(yè)務審計、銀行賬戶、企業(yè)往來函以及客戶信息”。黑客所指的CWT客戶,包括諸如AXA Equitable、Abbot Laboratories、AIG、亞馬遜、波士頓科學、Facebook、強生、SONOCO、雅詩蘭黛等知名公司。
Ragnar Locker的“數(shù)據(jù)竊取+勒索”雙管齊下的做法是當下勒索軟件運營商的流行趨勢:
鎖定文件,但是如果受害者不付款,還可能竊取并威脅釋放敏感數(shù)據(jù)。知名律師事務所Grubman Shire Meiselas&Sacks就遭遇這種情況,該公司在5月受到REvil勒索軟件的打擊。攻擊者揚言要泄露756GB的失竊數(shù)據(jù),其中包括有關Lady Gaga、Drake和麥當娜的個人信息。
實際上,Ragnar Locker勒索軟件背后的攻擊者正是加密前先竊取數(shù)據(jù)的老手,就像四月份在對北美Energias de Portugal(EDP)網(wǎng)絡的攻擊中一樣。網(wǎng)絡攻擊者聲稱已竊取了10TB的敏感公司數(shù)據(jù),并要求支付1,580比特幣(約1100萬美元)。
Vectra的EMEA主管Matt Walmsley通過電子郵件說:“Ragnar Locker是一個新穎而陰險的勒索軟件組織,正如葡萄牙能源供應商EDP于今年早些時候發(fā)現(xiàn)的那樣。”“與Maze Group勒索軟件所采用的“聲譽與羞辱”策略類似,受害者的數(shù)據(jù)在加密之前已被竊取,并用于提高贖金支付成功率。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
