Underground 勒索軟件團夥聲稱對上周針對日本科技巨頭卡西歐的攻擊負責,此次攻擊導緻系統中斷并影響了該公司的部分服務。近日,卡西歐在其網站上披露了此次攻擊,但未透露有關該事件的詳細信息,稱已聘請外部 IT 專家來調查個人數據或其他機密信息是否在攻擊中被盜。
目前,Underground 勒索軟件組織已将卡西歐添加到其暗網勒索門戶網站上,洩露了據稱從這家日本公司竊取的大量數據。
洩露的數據包括: 社外秘、法律文件、員工個人資料、保密保密協議、員工工資信息、專利信息 公司财務文件、項目信息、事件報告。
如果上述情況屬實,則此次攻擊已經損害了卡西歐的員工和知識産權,這可能對其業務産生負面影響。
卡西歐數據在 Underground 勒索軟件門戶網站上洩露
有媒體再次聯系卡西歐,詢問對威脅者的說法和數據洩露發表評論,但尚未收到任何回應。
Underground 勒索軟件概述
根據 Fortinet 2024 年 8 月下旬的報告,Underground 是自 2023 年 7 月以來針對 Windows 系統的規模相對較小的勒索軟件操作。
該病毒與俄羅斯網絡犯罪組織 "RomCom" ( Storm-0978 ) 有關,該組織此前曾在被破壞的系統上向古巴傳播勒索軟件。
Fortinet 報告稱,今年夏天,Underground 勒索軟件運營商開始利用 CVE-2023-36884,這是 Microsoft Office 中的一個遠程代碼執行缺陷,很可能被用作感染媒介。一旦系統遭到破壞,攻擊者就會修改注冊表,以在用戶斷開連接後使遠程桌面會話保持活動狀态 14 天,從而爲他們提供一個舒适的窗口來保持對系統的訪問。
Underground 不會向加密文件附加任何文件擴展名,并且它被配置爲跳過 Windows 操作必需的文件類型,以避免導緻系統無法使用。此外,它還會停止 MS SQL Server 服務,以釋放數據以供盜竊和加密,從而最大限度地擴大攻擊的影響。
與大多數 Windows 勒索軟件的情況一樣,Underground 會删除卷影副本,從而使數據無法輕松恢複。
Underground 的勒索信
Underground 勒索策略的一個獨特特征是,它還會洩露 Mega 上被盜的數據,通過其 Telegram 頻道推廣指向那裏托管的檔案的鏈接,從而最大限度地提高數據的曝光度和可用性。
Underground 勒索軟件的勒索門戶目前列出了 17 名受害者,其中大多數位于美國。
卡西歐的攻擊是否會成爲威脅組織進入主流的突破口,進而帶來更高的攻擊量節奏,還有待觀察。
