知名的勒索软件团伙LockBit 2.0当地时间6月6日声称它拥有来自谷歌子公司Mandiant的数据,该公司是威胁情报和事件响应领域的明星企业。

据多家新闻网站报道,LockBit团伙的数据泄露网站现在将Mandiant.com列为受害者之一,并附有“所有可用数据将被公布”的通知。该勒索软件组织当天早些时候在其数据泄露网站上发布了一个新页面,称他们据称从Mandiant 窃取的356,841个文件将在网上泄露。 该团伙的暗网泄密网站在计时器显示距离倒计时结束仅剩不到三个小时的时间。

由于泄漏页面上的文件列表为空,LockBit尚未透露它声称从Mandiant的系统中窃取了哪些文件。但是,该页面显示一个名为“mandiantyellowpress.com.7z”的 0 字节文件,该文件似乎与 mandiantyellowpress[.]com 域(6日当天注册)有关。访问此页面会重定向到 ninjaflex[.]com 站点。BleepingComputer 联系LockBit索赔的更多细节时,这家威胁情报公司表示尚未找到违规的证据。

Mandiant通过发表声明迅速回应了记者的置评请求:“Mandiant 知道这些与LockBit相关的声明。在这一点上,我们没有任何证据支持他们的说法。我们将继续关注事态的发展。”Mandiant 营销传播高级经理Mark Karayan向 BleepingComputer做了如上表态。

巧合的是,LockBit声明发布之际,全球最大的网络安全会议之一 RSA会议在旧金山开幕。

这也是在Mandiant表示有证据表明它命名为UNC2165的威胁组织已经不再使用Hades勒索软件而转而支持LockBit之后的四天。报告认为,这是因为美国已经制裁了名为Evil Corp的团伙。Mandiant说,UNC2165似乎是Evil Corp的附属机构,因此勒索软件压力的转变可能是试图将该团伙与受制裁实体拉开距离,

Mandiant最初是一家独立公司,2013年12月被FireEye以10亿美元收购。2021年6月FireEye被 Symphony Technology Group以12亿美元收购后,谷歌以 54亿美元收购Mandiant,目标是将其整合到它的谷歌云部门。

Emsisoft的威胁分析师Brett Callow警告不要从表面上接受LockBit的说法。“LockBit过去曾做出虚假声明,我怀疑这是其中的另一个。事实上,对于 Mandiant最近的报道声称Evil Corp正在使用LockBit的附属计划试图逃避 [美国] 制裁,这很可能只不过是一个巨魔。LockBit将宣布的时间安排在RSAC的开始这一事实也可能表明它是一个旨在引起尴尬的巨魔。”

移动应用和网站安全提供商The Media Trust的首席执行官Chris Olson表示同意。“由于Mandiant声称‘我们没有任何证据’来支持LockBit的说法,这是一个发展中的故事,我们应该持保留态度。过去,LockBit在其网站上发布了名称, 只是在没有解释的情况下删除了它们 ——它还通过第三方供应商窃取了组织的数据,同时错误地声称直接破坏了受害者。在更多信息出现之前,Mandiant的故事可能会朝着这两个方向发展。

LockBit勒索软件团伙自 2019年9月以来一直作为勒索软件即服务 (RaaS) 活跃,并在勒索软件参与者被禁止在网络犯罪论坛上发帖后于2021年6月重新启动为LockBit 2.0 RaaS。“LockBit采用勒索软件即服务 (RaaS) 模型,这意味着无法直接识别可能发起此漏洞的行为者。自从Mandiant开始在全球网络战的前线行动以来,这对于 Mandiant所获得的敌人来说可能是一种有用的策略。2013年,它牵连中国参与者参与网络间谍活动——2020年,它帮助调查了应对SolarWinds黑客事件负责的俄罗斯组织。最近,它一直在追踪总部位于俄罗斯的网络犯罪组织“Evil Corp”,该组织已开始与LockBit合作以逃避美国的制裁。

“目前,我们不知道LockBit的说法是否属实。但如果是这样,它们可能会对网络安全研究公司产生严重影响,这些公司越来越多地成为全球网络参与者的目标。”

过去遭受LockBit 2.0变种攻击的勒索软件受害者包括保加利亚国家难民署、法国司法部和埃森哲。

参考资源

1、https://channeldailynews.com/news/lockbit-claims-mandiant-data-will-be-published-mandiant-says-no-evidence-of-theft/77320

2、https://www.cyberscoop.com/lockbit-2-0-claims-mandiant-ransomware-victim/

3、https://www.bleepingcomputer.com/news/security/mandiant-no-evidence-we-were-hacked-by-lockbit-ransomware/

声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。