CWT(Carlson Wagonlit Travel)是一家拥有全球客户的企业旅行社领域的巨头,在上周末勒索软件攻击之后,CWT可能已向未知黑客支付了450万美元的费用。
独立的恶意软件猎人@JAMESWT上周四发布了一条推文,称攻击CWT的恶意软件样本已于7月27日上传到VirusTotal;他还提供了勒索软件信息,表明该勒索软件是Ragnar Locker。
@JAMESWT还报道了勒索软件攻击者向CWT索要414比特币的赎金,按当前汇率计算约为450万美元。CWT发言人拒绝透露赎金是否已付,攻击的任何技术细节等信息。
但是本周末CWT在媒体声明中表示攻击影响已经结束:“我们可以确认,作为预防措施,暂时关闭我们的系统后,我们的系统恢复了在线状态,该事件现在已经停止。”
目前还不清楚CWT如此快速恢复系统是否是因为支付了赎金,但可以确定的是,该事件的潜在影响力非常广泛:CWT表示,它为33%的《财富》500强公司和不计其数的小型公司提供旅行服务。根据@JAMESWT上传的赎金记录,黑客声称已经下载了公司2TB的数据,包括“账单信息、保险案例、财务报告、业务审计、银行账户、企业往来函以及客户信息”。黑客所指的CWT客户,包括诸如AXA Equitable、Abbot Laboratories、AIG、亚马逊、波士顿科学、Facebook、强生、SONOCO、雅诗兰黛等知名公司。
Ragnar Locker的“数据窃取+勒索”双管齐下的做法是当下勒索软件运营商的流行趋势:
锁定文件,但是如果受害者不付款,还可能窃取并威胁释放敏感数据。知名律师事务所Grubman Shire Meiselas&Sacks就遭遇这种情况,该公司在5月受到REvil勒索软件的打击。攻击者扬言要泄露756GB的失窃数据,其中包括有关Lady Gaga、Drake和麦当娜的个人信息。
实际上,Ragnar Locker勒索软件背后的攻击者正是加密前先窃取数据的老手,就像四月份在对北美Energias de Portugal(EDP)网络的攻击中一样。网络攻击者声称已窃取了10TB的敏感公司数据,并要求支付1,580比特币(约1100万美元)。
Vectra的EMEA主管Matt Walmsley通过电子邮件说:“Ragnar Locker是一个新颖而阴险的勒索软件组织,正如葡萄牙能源供应商EDP于今年早些时候发现的那样。”“与Maze Group勒索软件所采用的“声誉与羞辱”策略类似,受害者的数据在加密之前已被窃取,并用于提高赎金支付成功率。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文