德国建材巨头可耐福集团遭到Black Basta勒索软件袭击,业务运营被扰乱,被迫关闭所有IT系统以隔离事件影响;
可耐福称,目前所有工厂正常运转,所有业务离线进行;
Black Basta勒索软件团伙已在网站上将可耐福列为受害者,并放出了部分样本数据。
前情回顾·勒索软件大爆炸
安全内参7月21日消息,德国建材巨头可耐福集团(Knauf Group)宣布已成网络攻击目标。其业务运营被攻击扰乱,迫使全球IT团队关闭了所有IT系统以隔离事件影响。
此次网络攻击发生在6月29日晚间。截至本文发布时,可耐福仍在开展取证调查、事件响应及补救工作。
可耐福在网站主页上发布的简短公告写道,“我们目前正在努力减轻对我们的客户和合作伙伴的影响。所有工厂正常运转,所有业务离线进行。对于可能发生的交付过程中的任何不便或延迟,我们深表歉意。”
根据外媒看到的邮件警告,作为攻击响应的一部分,可耐福的电子邮件系统已经关闭,目前业务通信主要依靠手机和Microsoft Teams。
可耐福是一家总部位于德国的跨国建筑材料生产商,在全球墙板市场上拥有约81%的份额。
可耐福在全球多个国家拥有150处生产基地,也是美国可耐福绝热材料公司及USG公司的所有者。
值得注意的是,可耐福绝热材料公司也在网站上发布了关于网络攻击的通知,可见其同样受到了影响。
Black Basta宣布对事件负责
虽然可耐福并未在公告中说明此次遭遇的具体攻击类型,但从事件持续时间、影响和IT系统的恢复难度来看,这恐怕是一起勒索软件攻击。
事实上,名为Black Basta的勒索软件团伙已经在其网站上发布公告,于7月16日将可耐福列为受害者。此举也相当于宣布对这次攻击负责。
图:Black Basta勒索门户将可耐福列为攻击受害者
该勒索软件团伙还公布了一批数据,据称是攻击期间从可耐福处窃取到的全部文件中的20%。目前已经有超过350名访问者访问了这些文件。
图:Black Basta泄露了20%的被盗文件
记者已经看到电子邮件通信、用户凭证、员工联络信息、生产文档及ID扫描件等样本。
既然没有公布所有失窃文件,看起来恶意团伙仍希望能通过谈判获取赎金。
Black Basta团伙的崛起之路
Black Basta勒索软件团伙在2022年4月首度开展RaaS攻击,并迅速凭借针对高调受害者的双重勒索行为闯下名号。
根据早期展现出的知识能力和谈判风格来看,不少安全专家认为Black Basta应该是Conti改头换面之后的新“马甲”。
到2022年6月,Black Basta开始与Qbot(QuakBot)合作传播其勒索软件,同时开始投放Cobalt Strike并协助在受害者网络内横向移动。
另外,这群恶意黑客还专门为自己的勒索软件制作了Linux版本,用于入侵运行在Linux服务器上的VMware ESXi虚拟机。
参考资料:https://www.bleepingcomputer.com/news/security/building-materials-giant-knauf-hit-by-black-basta-ransomware-gang/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。