事件报道
众所周知,台湾的ADATA(威刚)是目前全球第二大计算机内存和存储设备制造商。而在2021年6月9日,威刚公司表示,他们的网络信息系统在今年的五月底经历了一次勒索软件攻击,导致该公司的系统被迫下线。
威刚公司现已确认了五月底的勒索软件攻击
威刚公司在确认了五月底的勒索软件攻击活动之后,便立刻下线了所有受影响的系统,并在发现了攻击事件之后立刻将事件详情报告给了有关国际当局,并与其他机构合作共同分析和调查此次的勒索软件攻击事件。
该公司在今天的电子邮件声明中告诉BleepingComputer:“威刚公司在2021年5月23日遭到了一次勒索软件攻击,在发现了此次攻击活动之后,我们便立刻下线了所有受影响的系统,并已采取一切必要措施恢复和升级相关的IT安全系统。令人高兴的是,事情正朝着正常的轨道发展,业务运营没有中断,因为相应的应急措施是有效的。我们决心致力于使系统得到前所未有的保护,是的,这将是我们在公司朝着未来的发展和成就不断前进的过程中不断的实践。”
根据威刚公司提供的信息,威刚公司的业务运营已经恢复了正常,受影响的设备也将在不久的将来恢复正常运行。
Ragnar Locker勒索软件声称对此次勒索软件攻击事件负责
目前,威刚公司没有对外提供有关此次勒索软件攻击事件背后的详细信息,或任何跟勒索要求相关的信息。不过,勒索软件攻击团伙Ragnar Locker在上个星期周末就已经声称此次攻击是他们发动的了。
Ragnar Locker背后的攻击者还对外声称,他们在部署勒索软件Payload之前就已经成功地从威刚公司的网络系统中窃取了1.5TB的敏感数据。
到目前为止,Ragnar Locker勒索软件攻击团伙只对外发布了被盗文件和文件夹的部分截图,但他们还继续威胁称,如果威刚公司拒绝支付数据赎金的话,他们将泄露其余敏感数据。
根据Ragnar Locker在其暗网网站上发布的截图,他们似乎成功收集到了威刚公司的专有商业信息、机密文件、各类统计图表、财务数据、Gitlab和SVN源代码、法律文档、员工信息、NDAs和工作文件夹等等。
关于Ragnar Locker勒索软件
Ragnar Locker勒索软件活动于2019年12月下旬在针对几个目标发动攻击时被人们首次观察到。
在受感染的企业终端节点上,Ragnar Locker勒索软件操作者会终止托管服务提供商(MSP)用于远程管理客户端系统的远程管理软件(如ConnectWise和Kaseya)。这将允许攻击者绕过安全检测机制,并确保远程登录的管理员不会阻止恶意Payload的部署过程。
美国联邦调查局警告各大私营企业称,在2020年4月份多国能源巨头葡萄牙能源公司(EDP)遭受了Ragnar Locker勒索软件攻击之后,Ragnar Locker勒索软件攻击者很可能会将自己的“罪恶之手”伸向其他的大型私营企业。
正如研究人员所观察到的那样,Ragnar Locker勒索软件所要求的数据赎金从20万美元到60万美元不等,而在针对葡萄牙能源公司(EDP)的勒索软件攻击活动中,他们甚至要求赎金达到了1580个比特币,当时价值相当于一千多万美元。
当时事件发生之后,Ragnar Locker勒索软件背后的操纵者还在通过“客服窗口”和EDP进行实时聊天,要求他们检查公司网站关于这个泄密威胁的通知,并询问公司是否愿意看到企业私人信息出现在快讯、技术博客和股市网站上。
他们还补充道“时不待人”,还警告EDP不要尝试使用除Ragnar Locker以外的解密器来破解文件,否则将有数据破坏和丢失的风险。
攻击者还调侃EDP如果在系统加密两天后联系他们,能够享受优惠价格。但是,他们也要等着,勒索软件的即时聊天也不会全天候在线。
Ragnar Locker勒索软件在2019年12月底首次被发现,专门针对托管服务提供商(MSP)的常用软件,来入侵网络窃取数据文件。
MSP安全公司Huntress Labs的首席执行官Kyle Hanslovan在2月说到,他的公司发现Ragnar Locker通过MSP软件ConnectWise进行了部署。
经过侦察和部署前阶段,攻击者构建针对性强的勒索软件可执行文件,该可执行文件为加密文件添加了特定的扩展名,具有嵌入式RSA-2048密钥,并加入自定义勒索票据。
Ragnar Locker具有多次的赎金记录,赎金记录包括受害者的公司名称、Tor站点的链接以及包含受害者已发布数据的数据泄漏站点,赎金范围从20万美元到大约60万美元不等。
SentinelLabs对这种勒索病毒进行分析,负责人Vitali Kremez提及,Ragnar Locker首次启动时将检查配置的Windows语言首选项,如果将它们设置为前苏联国家之一,则会终止该过程并且不对计算机进行加密。如果受害者通过了此检查,则勒索软件将停止上一节中所述的各种Windows服务。
现在已经准备好对计算机进行加密,Ragnar Locker将开始对计算机上的文件进行加密。
加密文件时,它将跳过以下文件夹、文件名和扩展名中的文件:
kernel32.dll
Windows
Windows.old
Tor browser
Internet Explorer
Google
Opera
Opera Software
Mozilla
Mozilla Firefox
$Recycle.Bin
ProgramData
All Users
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr.efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
.sys
.dll
.lnk
.msi
.drv
.exe
对于每个加密文件,文件名后都会添加一个预配置的扩展名,如.ragnar22015ABC,“ RAGNAR”文件标记也将添加到每个加密文件的末尾。最后,将创建一个名为.RGNR [extension] .txt的赎金票据,其中包含有关受害者文件发生了什么情况、赎金金额、比特币支付地址、与攻击者进行通信的TOX聊天ID等信息,如果TOX则用备份的电子邮件地址。目前针对Ragnar Locker勒索软件加密文件尚无法解密。