江森自控国际公司遭受了所谓的大规模勒索软件攻击,该攻击对公司的许多设备(包括 VMware ESXi 服务器)进行了加密,影响了公司及其子公司的运营。江森自控是智能建筑领域的全球领导者,致力于创造安全、健康和可持续的空间,有140多年的历史,主要开发和制造工业控制系统、安全设备、空调和消防安全设备,为医疗保健、学校、数据中心、机场、体育场馆、酒店、制造业等行业提供未来蓝图。该公司通过其公司运营和子公司拥有100,000名员工,包括 York、Tyco、Luxaire、Coleman、Ruskin、Grinnel和Simplex,客户遍布全球150多个国家和地区。此次攻击导致包括 York、Simplex和Ruskin在内的多家子公司面临技术问题,从各自网站登录页面和客户门户上显示的技术中断消息可以看出这一点。不过,江森自控目前尚未就该事件发表官方声明。
发生在周末的网络攻击
根据美国网络安全事件报告的FORM 8-K文件,江森自控已向监管机构正式报告了网络安全事件。
26日,一位消息人士告诉 BleepingComputer,江森自控在其亚洲办事处最初遭到勒索软件攻击后遭受了勒索软件攻击。
BleepingComputer 随后获悉该公司在周末遭受了网络攻击,导致该公司关闭了部分 IT 系统。
从那时起,其许多子公司,包括 York、Simplex和Ruskin,都开始在网站登录页面和客户门户上显示技术中断消息。
Simplex网站上的一条消息写道:“我们目前正经历 IT 中断,这可能会限制某些客户应用程序,例如 Simplex 客户门户。”
“我们正在积极减轻对我们服务的任何潜在影响,并将在解决这些中断问题后与客户保持沟通。”
网站上的江森自控技术中断消息(来源:BleepingComputer)
江森自控另一家子公司约克的客户报告称,他们被告知该公司的系统已瘫痪,其中一些人表示,这是由于网络攻击造成的。
一位约克客户在 Reddit 上发帖称:“他们的计算机系统在周末崩溃了。制造业和一切都瘫痪了。 ”
另一位顾客发帖称:“我和我们的代表谈过,他说有人黑了他们。”
27日天早上,Nextron Systems威胁研究员Gameel Ali 在推特上发布了Dark Angels VMware ESXi加密器的样本,其中包含勒索字条,声称该样本是用来针对Johnson Controls的。
黑暗天使赎金字条(来源:BleepingComputer)
BleepingComputer获悉,勒索信息链接到一次谈判聊天记录,勒索软件团伙要求 5100万美元来提供解密器并删除被盗数据。
威胁行为者还声称在攻击期间窃取了超过27 TB的公司数据并加密了公司的 VMWare ESXi虚拟机。
BleepingComputer已联系江森自控询问有关此次攻击的问题,但尚未收到回复。
这并不是江森自控第一次遭遇勒索软件攻击。2017年,该公司位于华盛顿特区的监控摄像头(构成公共场所闭路电视系统的一部分)成为勒索软件的受害者。另一起事件发生在2019年,当时江森自控因利用Microsoft SMB协议中的漏洞的勒索软件攻击而发布了产品安全公告,可能会影响某些Metasys安装。针对这些事件,江森自控甚至发布了一份白皮书,重点关注降低智能建筑中的勒索软件风险。
“黑暗天使”(Dark Angels)勒索软件团伙是谁?
Dark Angels是一种勒索软件运营组织,于2022年5月启动,当时它开始针对全球组织。
与几乎所有人为操作的勒索软件团伙一样,“黑暗天使”破坏了企业网络,然后通过网络横向传播。在此期间,威胁行为者从文件服务器窃取数据以用于双重勒索攻击。
当威胁行为者获得对Windows域控制器的访问权限时,他们会部署勒索软件来加密网络上的所有设备。
根据Babuk勒索软件源代码泄露,威胁行为者最初使用Windows和VMware ESXi 加密器 。
然而,网络安全研究人员MalwareHunterTeam告诉BleepingComputer,Johnson Controls攻击中使用的Linux加密器与Ragnar Locker自2021年以来使用的加密器相同。
Dark Angels于2023 年4月推出了一个名为“Dunghill Leaks”的数据泄露网站,用于勒索受害者,威胁称如果不支付赎金,就会泄露数据。
“Dunghill”Leaks 数据泄露网站(来源:BleepingComputer)
该勒索网站目前列出了9名受害者,其中包括最近披露了网络攻击的Sabre和Sysco。
今年以来,已先后有施耐德电气、西门子能源、ABB、Honeywell等国际自动化巨头遭遇勒索软件攻击,这次是江森自控。工业自动化厂商被攻击的“余音”很可能绕梁而数月不绝。ABB被勒索后采取了花钱消灾的办法,本次5100万美元的赎金,看江森如何 应对?
参考资源
1、https://www.bleepingcomputer.com/news/security/building-automation-giant-johnson-controls-hit-by-ransomware-attack/
2、https://www.reddit.com/r/HVAC/comments/16t2876/anyone_know_about_johnson_controls/
3、https://seekingalpha.com/filing/7894954?hasComeFromMpArticle=false
4、https://beststocks.com/ransomware-attack-on-johnson-controls-interna/
声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。