本文来自微信公众号“嘶吼专业版”,【作者】胡金鱼。
Underground勒索软件团伙声称对上周针对日本科技巨头卡西欧的攻击负责,此次攻击导致系统中断并影响了该公司的部分服务。近日,卡西欧在其网站上披露了此次攻击,但未透露有关该事件的详细信息,称已聘请外部IT专家来调查个人数据或其他机密信息是否在攻击中被盗。
目前,Underground勒索软件组织已将卡西欧添加到其暗网勒索门户网站上,泄露了据称从这家日本公司窃取的大量数据。
泄露的数据包括:社外秘、法律文件、员工个人资料、保密保密协议、员工工资信息、专利信息公司财务文件、项目信息、事件报告。
如果上述情况属实,则此次攻击已经损害了卡西欧的员工和知识产权,这可能对其业务产生负面影响。
卡西欧数据在Underground勒索软件门户网站上泄露
有媒体再次联系卡西欧,询问对威胁者的说法和数据泄露发表评论,但尚未收到任何回应。
Underground勒索软件概述
根据Fortinet 2024年8月下旬的报告,Underground是自2023年7月以来针对Windows系统的规模相对较小的勒索软件操作。
该病毒与俄罗斯网络犯罪组织“RomCom”(Storm-0978)有关,该组织此前曾在被破坏的系统上向古巴传播勒索软件。
Fortinet报告称,今年夏天,Underground勒索软件运营商开始利用CVE-2023-36884,这是Microsoft Office中的一个远程代码执行缺陷,很可能被用作感染媒介。一旦系统遭到破坏,攻击者就会修改注册表,以在用户断开连接后使远程桌面会话保持活动状态14天,从而为他们提供一个舒适的窗口来保持对系统的访问。
Underground不会向加密文件附加任何文件扩展名,并且它被配置为跳过Windows操作必需的文件类型,以避免导致系统无法使用。此外,它还会停止MS SQL Server服务,以释放数据以供盗窃和加密,从而最大限度地扩大攻击的影响。
与大多数Windows勒索软件的情况一样,Underground会删除卷影副本,从而使数据无法轻松恢复。
Underground的勒索信
Underground勒索策略的一个独特特征是,它还会泄露Mega上被盗的数据,通过其Telegram频道推广指向那里托管的档案的链接,从而最大限度地提高数据的曝光度和可用性。
Underground勒索软件的勒索门户目前列出了17名受害者,其中大多数位于美国。
卡西欧的攻击是否会成为威胁组织进入主流的突破口,进而带来更高的攻击量节奏,还有待观察。
参考及来源:https://www.bleepingcomputer.com/news/security/underground-ransomware-claims-attack-on-casio-leaks-stolen-data/
