澳大利亚运输和物流巨头Toll Group遭受了勒索软件攻击,这是三个月来的第二次攻击。该公司表示,一种名为Nefilim的较新形式的勒索软件已针对其系统。 日本邮政控股公司的子公司Toll Group是一家货运和送货服务公司,业务遍及50个国家/地区的1,200多个地点。eBay等电子商务巨头通常使用它来运输大宗商品,关键备件和医疗用品。 该公司周一在检测到某些服务器上的异常活动后关闭了某些IT系统,从而导致客户遇到延迟和中断。尽管货运“基本上没有受到影响”,并且包裹交付正在按计划进行,但该公司用于创建货运和预订取件的MyToll门户仍处于离线状态。
Toll Group网站上的一份声明说:“根据到目前为止的调查结果,我们可以确认该活动是勒索软件攻击的结果。”“这与我们今年早些时候经历的勒索软件事件无关。收费站无意参与任何赎金要求,并且目前没有证据表明任何数据都是从我们的网络中提取的。”
Nefilim直到最近才被发现。根据研究人员的说法,它很可能通过远程桌面协议(RDP)传播,类似于其他勒索软件系列,Nemty,Crysis和SamSam。 Nefilim背后的参与者主要是通过易受攻击的RDP服务器获得访问权限,尽管有未经证实的报道表明它们扩大了攻击范围,” Recorded Future威胁情报分析师Allan Liska告诉Threatpost。“对于新的勒索软件参与者来说,这是一条相当普遍的开发路径:它们始于开放或易受攻击的RDP服务器,然后扩展到其他攻击方法。”
研究人员还说,Nefilim的代码与Nemty勒索软件有着惊人的相似之处。但是,两者之间有一些显着差异:与Nemty不同,Nefilim没有勒索软件即服务组件,研究人员说,没有证据表明这两种病毒背后存在相同的威胁因素。
Liska说:“ Nefilim是一个相对较新的勒索软件变体,与Nemty勒索软件共享很多代码。”“由于Nemty背后的小组中止了公共运营并改用私人模式,因此认为Nefilim是该小组中的某个人,或者是该小组与之共享代码的人。”
Nefilim勒索软件虽然很新,但本月似乎在各个方面都对公司造成了打击。周一,《天空新闻》(Sky News)的一份报道指出,勒索软件运营商针对一家斯里兰卡服装制造商,该服装制造商为维多利亚的秘密(Victoria's Secret),耐克(Nike)和碧昂斯(Beyonce)的常春藤(Ivy Park)等品牌生产内衣。根据该报告,运营商表示,他们从制造商那里窃取了300 GB的私人文件,并据称在网上发布了一些据称被盗的文件。
实际上,Liska指出,Nefilim威胁说,如果受害者没有支付赎金,他们会向公众泄露各种数据,该网站位于TOR节点上的一个名为Corporate Leaks的“泄漏”网站上。这是研究人员称为双重勒索的一种新兴的勒索软件策略。
Digital Shadows的安全工程师Charles Ragland对Threatpost表示:“在过去的几个月中,Nefilim 运营商还采用了其他勒索软件组织(如Maze)流行的“名与耻”策略。”“通过威胁释放数据,网络犯罪分子可以试图对组织施加更大的压力,迫使他们支付赎金要求。这实际上构成了勒索软件攻击和数据泄露的混合威胁,并可能在接下来的几个月中继续成为流行的策略。”
勒索软件弹幕这是今年Toll Group的第二次勒索软件攻击:该公司于2月3日表示受到勒索软件的攻击,导致客户报告其在澳大利亚,印度和菲律宾的运营受到影响。与最近的事件类似,在2月份的勒索软件攻击中,据报道,包括MyToll门户在内的Toll Group各种面向客户的服务也受到了破坏。
与上一次勒索软件攻击一样,在第二次勒索软件事件中,客户在Twitter上表示愤慨,抱怨由于MyToll掉线造成的通信问题和包裹追踪中断。
我的送货员没有敲门,而是去了仓库,他们已经关闭了仓库的送货。由于收费下降,我无法将其移到最近的收款点。我甚至不能去得到它。如果您不愿意进入我的收费站,请重新打开仓库取件。
-瑞秋·奥古斯汀(@ Rachaelaugusty1)2020年5月5日
Acceptto的首席安全架构师Fausto Oliveira对Threatpost说:“这是一个严重的事件,针对的是供应链中非常重要的部分。”“在Covid-19流行期间进行这样的袭击不仅是犯罪,而且显示出愈来愈严重的漠视和对人类生命的漠视。好消息是,我们在前一次事件中看到的收费小组使用的收容措施似乎正在奏效,他们已经进行了尽职调查。”
实际上,Toll Group强调说,在持续的冠状病毒大流行(包括从中国出发的包机航班)中,它将优先运送包括医疗和保健用品在内的基本物品。
该公司表示,正在就事件的进展定期与澳大利亚网络安全中心(ACSC)联系。“随着我们继续调查导致我们禁用各种IT系统的勒索软件攻击的细节,我们在重建支撑Toll大部分在线运营的核心系统方面取得了良好进展。”“这包括清理受影响的服务器和系统,以及从备份还原文件。”