排他性美国企业旅行管理公司卡尔森·瓦格里特旅游公司(CarlsonWgonlitTravelyInc.)遭受了入侵,据信该公司支付了450万美元赎金才能收回数据。
一周前,这起袭击袭击了该公司,在控制和处理感染的同时,导致了所有系统的关闭。
卡尔森·瓦格利特(Carlson Wgonlight)似乎已经支付了超过400比特币的赎金,按当前利率计算为450万美元--该公司15亿美元的年收入或许能够在没有太多麻烦的情况下吸收。推特用户发布了第一个违约迹象以及周四的赎金:
Twitter用户@JAMESWT_MHT发布了RagnarLocker击中CWT的消息
在推特中链接的恶意软件分析网站显示,7月27日星期一上传了赎金软件的样本。
最近更名为CWT的卡尔森·瓦格利特(CarlsonWgonlitt),为员工提供基于B2B2E业务的旅行和酒店预订服务。公司将安排公司前往CWT的繁琐部分外包出去,而不是自己做。登记册据了解,尽管CWT本周早些时候通知了一些企业客户,但该公司也告诉他们,个别旅行者的数据没有被泄露--而这似乎就是通知链停止的地方。
在一份声明中,该公司告诉登记册:
CWT在周末经历了一次网络事件。我们可以证实,作为一项预防措施,我们的系统暂时关闭后,我们的系统已恢复运作,事件现已停止。我们立即展开调查,聘请了外部法医专家。虽然调查还处于早期阶段,但我们没有迹象表明PII/客户和旅行者的信息受到了影响。客户信息的安全性和完整性是我们的重中之重。
当我们问CWT是否支付赎金时,一位发言人将我们带回准备好的声明,如果是的话,支付多少。令人遗憾的是,该公司似乎已经加入了其他跨国企业的行列,仅从上个月起,导航和健身跟踪公司Garmin云CRM供应商Blackbaud。警告在支付赎金的企业中,不到一半的企业无法收回全部数据人们对此充耳不闻,因为付钱给这些骗子只是维持了他们的商业模式,并鼓励他们继续他们的犯罪狂潮。
英国数据监管机构信息专员办公室(Information Commission‘s Office)表示,它尚未收到CWT发出的违约通知。CWT在英国有广泛的存在。该办公室补充称,各组织必须在被发现后72小时内报告违规行为,除非这种违规行为似乎“不会对人们的权利和自由构成威胁”。
其公布的指南指出:
当个人数据被泄露时,您需要确定由此产生的对人民权利和自由的风险的可能性和严重性。如果可能存在风险,则必须通知ICO;如果不太可能,则不必报告。然而,如果你决定你不需要报告违反,你需要能够证明这个决定,所以你应该记录它。
人们认为牵涉其中的是拉格纳·洛克(RagnarLocker)。赎金是一种相对较新的品种,是去年末首次出现的,将WindowsXP虚拟机部署到目标网络为了释放赎金本身。根据英国威胁情报公司索福斯的说法,典型的攻击矢量包括远程桌面服务周围配置不良的安全控制或针对托管服务提供商的供应链攻击。
Infoosec biz Vectra的EMEA董事马特·沃尔姆斯利告诉登记册:“拉格纳·洛克(RagnarLocker)是一家新颖而阴险的赎金集团,葡萄牙能源供应商EDP今年早些时候发现,他们把10 TB的私人信息丢给了赎金运营商。与迷宫集团(Maze Group)Ransomware使用的‘姓名和耻辱’策略相呼应,受害者的数据在加密之前被提取出来,并被用来利用赎金支付。这些赎金集团使用的欺凌策略使得攻击变得更加昂贵,而且它们不会很快停止攻击,特别是在当前的气候下。
“拉格纳·洛克(RagnarLocker)还利用服务提供商作为分配其有效载荷的一种手段。这些攻击者将试图利用、胁迫和利用组织的宝贵数字资产,现在服务公司似乎也成为了攻击目标,因为它们的大量下游企业客户诱人。”
F-Secure的战术防御小组的研究员伯特·斯特普(Bert Steppé)补充说:“RagnarLocker是一个相对较新的赎金家族,被用于有针对性的攻击。赎金通知是针对每一名受害者个性化的。这是在今年年初首次观察到的,当时它被部署在易受攻击的Citrix服务器上。Rangomware仍在积极开发中,攻击者在逃避检测方面非常创新:在已知的一个案例中,他们部署了一台完整的WinXP虚拟机,从VM内部加密主机上的文件。”
据说,RagnarLocker还会搜索和删除备份、相关的实用程序和连接的存储驱动器。