CWT(Carlson Wagonlit Travel)是一家拥有全球客户的企业旅行社领域的巨头, 在上周末勒索软件攻击之后, CWT 可能已向未知黑客支付了 450 万美元的费用.
独立的恶意软件猎人 @JAMESWT 上周四发布了一条推文, 称攻击 CWT 的恶意软件样本已于 7 月 27 日上传到 VirusTotal; 他还提供了勒索软件信息, 表明该勒索软件是 Ragnar Locker.
@JAMESWT 还报道了勒索软件攻击者向 CWT 索要 414 比特币的赎金, 按当前汇率计算约为 450 万美元. CWT 发言人拒绝透露赎金是否已付, 攻击的任何技术细节等信息.
但是本周末 CWT 在媒体声明中表示攻击影响已经结束:"我们可以确认, 作为预防措施, 暂时关闭我们的系统后, 我们的系统恢复了在线状态, 该事件现在已经停止."
目前还不清楚 CWT 如此快速恢复系统是否是因为支付了赎金, 但可以确定的是, 该事件的潜在影响力非常广泛: CWT 表示, 它为 33% 的《财富》500 强公司和不计其数的小型公司提供旅行服务. 根据 @JAMESWT 上传的赎金记录, 黑客声称已经下载了公司 2TB 的数据, 包括 "账单信息, 保险案例, 财务报告, 业务审计, 银行账户, 企业往来函以及客户信息". 黑客所指的 CWT 客户, 包括诸如 AXA Equitable,Abbot Laboratories,AIG, 亚马逊, 波士顿科学, Facebook, 强生, SONOCO, 雅诗兰黛等知名公司.
Ragnar Locker 的 "数据窃取 + 勒索" 双管齐下的做法是当下勒索软件运营商的流行趋势:
锁定文件, 但是如果受害者不付款, 还可能窃取并威胁释放敏感数据. 知名律师事务所 Grubman Shire Meiselas&Sacks 就遭遇这种情况, 该公司在 5 月受到 REvil 勒索软件的打击. 攻击者扬言要泄露 756GB 的失窃数据, 其中包括有关 Lady Gaga,Drake 和麦当娜的个人信息.
实际上, Ragnar Locker 勒索软件背后的攻击者正是加密前先窃取数据的老手, 就像四月份在对北美 Energias de Portugal(EDP)网络的攻击中一样. 网络攻击者声称已窃取了 10TB 的敏感公司数据, 并要求支付 1,580 比特币(约 1100 万美元).
Vectra 的 EMEA 主管 Matt Walmsley 通过电子邮件说:"Ragnar Locker 是一个新颖而阴险的勒索软件组织, 正如葡萄牙能源供应商 EDP 于今年早些时候发现的那样."" 与 Maze Group 勒索软件所采用的 "声誉与羞辱" 策略类似, 受害者的数据在加密之前已被窃取, 并用于提高赎金支付成功率.
来源: http://zhuanlan.51cto.com/art/202008/623093.htm