著名網絡安全公司Qualys近日遭遇勒索軟件攻擊，略顯尷尬的是，勒索軟件的投放渠道來自另外一家網絡安全公司Accellion FTA的文件傳輸服務器漏洞(該漏洞由另外一家知名網絡安全公司FireEye旗下的Mandiant發現)。

[[385475]]

“鏢局”被劫

據The Register報道，Qualys的云漏洞檢測技術以及SSL服務器測試站點遭到勒索軟件團伙Clop的攻擊，Clop在Tor博客上曬出了Qualys的客戶發票。

Clop宣稱竊取的數據還包括Qualys的采購訂單、客戶設備掃描結果和報價等。這些文件的性質表明，它們是從Qualys業務部門的管理員而不是網絡安全部門竊取的。

基于Accellion的前車之鑒，網絡安全公司Emsisoft的勒索軟件幫派專家Brett Callow警告說：“與Qualys打交道的企業應保持高度警惕。”

該事件使Qualys顏面盡失，作為提供漏洞檢測和滲透測試等專業服務的網絡安全公司，Qualys在事件曝光的第一時間并未確定攻擊媒介——盡管Clop在過去的幾個月中一直專注于勒索使用存在漏洞的Accellion文件傳輸設備的用戶。直到昨日，Qualys才發布聲明稱在客戶支持系統中使用了存在零日漏洞的Accellion FTA設備，且已經收到最新的漏洞調查和緩解信息。

對于攻擊造成的影響，Qualys堅稱：“存在漏洞但Accellion FTA設備被部署在單獨的DMZ環境中，攻擊對Qualys Cloud云平臺上托管的Qualys生產環境，代碼庫或客戶數據沒有影響。所有Qualys平臺都將繼續發揮全部功能，并且絕不會對運營產生任何影響。”

Qualys還強調自己使用的Accellion FTA產品“是由Accellion完全管理的第三方系統”。

雖然在聲明中將鍋全部甩給了Accellion，但令人尷尬的是，Qualys曾在2016年發布過有關Accellion設備漏洞的研究報告。

(PDF下載：https://www.qualys.com/2016/12/06/qsa-2016-12-06/qsa-2016-12-06.pdf)。

Accelion零日漏洞引發連環勒索攻擊

近來，Clop通過Accelion設備漏洞實施了一系列的勒索軟件攻擊。最近一個知名受害企業是加拿大航空航天公司龐巴迪(Bombardier)，在攻擊過程中，Clop泄漏了龐巴迪向全球多國空軍提供的軍用級雷達的細節。此外，遭遇數據泄漏勒索的知名企業還包括倫敦廣告代理商The7stars和德國軟件巨頭Software AG等。

剛剛經歷并發現SolarWinds供應鏈攻擊的美國網絡安全巨頭FireEye認為，勒索軟件團伙Clop一直是另外一個犯罪活動的經銷商，后者在12月和1月實施了針對Accellion設備的數據竊取。

昨天，Accelion發布了FireEye旗下網絡安全公司Mandiant編寫的攻擊響應處理報告(PDF下載：

https://www.accellion.com/sites/default/files/trust-center/accellion-fta-attack-mandiant-report-full.pdf)，報告指出：“ 去年12月和今年1月份的漏洞利用表明，攻擊者對高度復雜的Accellion FTA軟件的內部運作極為熟悉，這很可能是通過全面大量的逆向工程的結果。”

2021數據泄漏勒索將盛行

Emsisoft的安全專家Callow指出，美國CISA(關鍵基礎設施安全局)的安全咨文表明勒索軟件犯罪分子正在從勒索活動中牟取暴利，并暗示很多受害者已經付費以避免尷尬。

“在2020年，Clop發布了從1300多家公司(包括軍事工業領域的承包商)中盜取的數據，還有很多企業和組織選擇付費以防止泄漏信息被發布。”Callow說，“當然，由于并非所有勒索軟件團伙都在2020年竊取數據，因此我們預計2021年會有更多的數據泄漏勒索案件。”

ESET安全專家杰克·摩爾(Jake Moore)表示：“Clop為代表的攻擊者們正表現得越來越熟練，開始使用高效率的勒索策略來確保他們拿到想要的東西。如今，僅僅加密數據進行勒索已經有些“老套”，攻擊者發現竊取和出售數據更加有利可圖(編者：甚至在一些針對安全能力較強的目標實施的勒索軟件攻擊中，攻擊者選擇不加密數據而是直接竊取數據)。”

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文