遭受网络攻击泄露了101GB数据

臭名昭著的BlackCat/ALPHV勒索软件团伙声称对另一个组织发起了攻击。今天轮到意大利-法国科西嘉-费里斯公司发现自己正在与勒索软件作斗争。

BlackCat 在其数据泄露网站上报告称，该公司是网络攻击的受害者，并发布了从该公司 IT 基础设施中泄露的一系列样本以及一个包含 101GB 的文件。

BlackCat 在帖子中报告了以下内容：

Hanno deciso di non collaborare.
Sentiti libero di scaricare e controllare i dati. C'è dentro:

1. Banche, fatturazione e tutto incentrato sul denaro;
2. Informazioni personali;
3. Documenti interni, navi, disegni di navi;
4.......
Elenco completo all'URL di download in "Metadati".

E URL separato per scaricare il codice sorgente inclusi portafogli, app mobili, stripe e così via:
http://**************************************************

我们提醒大家，几乎任何人都可以访问洋葱网络并下载数据（通过 TOR 浏览器），即使他们在这方面没有特殊技能。这意味着任何通常知道如何使用电脑的人都可以访问此类数据。

尽管网站上尚未有这方面的报道，Corsica-Ferris 已于 2023 年 6 月 11 日向感兴趣的各方发送了一封电子邮件，其中报告了以下内容：

Cari Clienti,

Conformemente alle disposizioni del Regolamento UE n. 2016/679 definito “GDPR”, la Società CORSICA FERRIES (RCS di Bastia n° 496320151) si è impegnata a garantire la sicurezza e la riservatezza dei dati personali dei suoi clienti, in particolare, per impedire che vengano danneggiati o cancellati o che terzi, non autorizzati, possano accedervi.

Come, forse, sapete già, i nostri sistemi informatici hanno subito un attacco.
Le indagini, che sono ancora in corso, dovranno determinare l’impatto preciso di questa violazione e se i vostri dati personali siano stati, in qualche modo, compromessi.

A seguito di questo attacco, il nostro sistema di prenotazione è stato ripristinato rapidamente ed è stato oggetto di un controllo approfondito e di un rafforzamento dei parametri di sicurezza, con l'assistenza di esperti di cyber security.

Le nostre traversate non hanno subito nessun impatto e la sicurezza a bordo delle navi non è stata, in alcun modo, compromessa.

La Compagnia ha presentato una denuncia penale alle autorità competenti - con riferimento agli articoli 323-1 e 323-7 del Codice Penale - per il tentativo di accesso al sistema di trattamento dei dati, e ha notificato questo incidente alla CNIL (Garante per la protezione dei dati personali in Francia).

关于公布的数据，BlackCat 公布了 2 张报告 2022 年预算信息的图像，以及一个包含从公司 IT 基础设施中窃取的 101GB 信息的存档文件。

BlackCat/ALPHV 是一个网络犯罪团伙，曾对许多意大利公司和公共管理部门进行过黑客攻击。

勒索软件是一种在组织内传播的恶意软件，目的是加密数据并使系统不可用。一旦数据被加密，犯罪分子就会要求受害者支付加密货币赎金，以便解密数据。

如果受害者不愿意支付赎金，犯罪分子就会进行双重勒索，即威胁公布之前从受害者 IT 基础设施中泄露的敏感数据。

Recorded Future 和 MalwareHunterTeam 的安全研究人员于 2021 年底左右发现了一种名为 ALPHV/BlackCat 的新型勒索软件，该软件此前曾参与臭名昭著的网络团伙 REvil (Sodinokibi) 的犯罪活动。

从技术上讲，这种勒索软件是继 2020 年在 GitHub 上发布概念验证以及同年观察到的现已失效的名为BadBeeTeam的实验菌株之后，第三种使用 Rust 语言的勒索软件。

ALPHV（BlackCat）是第一个通过以 RaaS（勒索软件即服务）模式运行的网络团伙创建和分发的。该团伙效仿 REvil 的模式，在地下网络犯罪（XSS 和 Exploit）论坛中宣传其附属计划，邀请其他犯罪分子加入并对大公司发起攻击以勒索金钱。

那些提出申请的人（被称为“附属机构”）会收到 ALPHV (BlackCat) 勒索软件的一个版本，他们可以在攻击中使用该勒索软件，然后在被入侵的公司收到付款后分割收益。

他们宣传的功能包括在 Windows、Linux 和 VMWare eSXI 系统上加密数据的能力，以及“附属机构”有可能获得最终赎金的 80% 到 90%，具体取决于他们从勒索软件中提取的总金额。受害者。

与当今大多数主要勒索软件操作的策略一致，该组织还进行双重勒索，他们使用窃取的数据迫使受害者付款，并威胁如果受害者不付款就泄露被盗的数据。

该组织似乎运营着多个数据泄露站点 (DLS)，每个站点都托管一到两名受害者的数据，而 ALPHV (BlackCat) 创建了一个新站点用于新的攻击。一种理论是，这些泄露网站目前由同一 ALPHV (BlackCat) 附属机构托管，这解释了不同的数据泄露 URL。

虽然还有其他尝试用 Rust 创建勒索软件，但 BlackCat 是第一个构成真正威胁的勒索软件，公司需要警惕。Michael Gillespie（Emsisoft 著名恶意软件分析师，数十个勒索软件解密实用程序的作者）在推文中将BlackCat 描述为“非常复杂”的勒索软件。

然而，BlackCat 并不是唯一使用 Rust 的 RaaS 专业人士，这种编程语言被认为比 C 和 C++ 安全得多。

其他网络犯罪组织，例如 BuerLoader 和 FickerStealer 的运营商，也在 2021 年迈出了实施 Rust 版本工具的第一步。

BlackCat 是一个网络犯罪团伙，其创新的网络勒索方法经常让我们感到惊讶。例如，在 2022 年对比萨大学的网络攻击中， BlackCat 在明网上创建了一个与受害者官方网站同名但扩展名不同的网站。该网站托管着从托斯卡纳大学 IT 基础设施中窃取的数据，并拥有一个搜索引擎，任何人都可以在不访问洋葱网络的情况下以完全有组织的方式搜索被盗数据。

如何保护自己免受勒索软件侵害

勒索软件感染可能会对组织造成毁灭性的打击，而数据恢复可能是一个困难且费力的过程，需要高度专业化的操作员才能进行可靠的恢复，尽管在没有数据备份的情况下，很多时候恢复都会失败。

事实上，建议用户和管理员采取预防性安全措施来保护其网络免受勒索软件感染，这些措施按复杂程度排列：

通过意识课程对员工进行培训；

对所有关键信息使用数据备份和恢复计划。执行和测试定期备份，以限制数据或系统丢失的影响并加快恢复过程。请记住，即使是网络连接的备份也可能受到勒索软件的影响。关键备份必须与网络隔离以获得最佳保护；

使用最新补丁更新您的操作系统和所有软件。易受攻击的应用程序和操作系统是大多数攻击的目标。确保使用最新更新修补这些漏洞可显着减少攻击者可利用的入口点数量；

保持您的防病毒软件更新，并在运行前扫描所有从互联网下载的软件；

限制用户安装和运行不需要的软件应用程序的能力（权限），并对所有系统和服务应用“最小权限”原则。限制这些权限可以防止恶意软件运行或限制其在网络上传播的能力；

避免从电子邮件附件启用宏。如果用户打开附件并启用宏，嵌入的代码将在计算机上执行恶意软件；

不要点击电子邮件中未经请求的网络链接；

切勿将远程桌面协议 (RDP) 连接直接暴露到 Internet。如果您需要从互联网进行访问，则一切都必须通过 VPN 进行中介；

实施入侵防御系统 (IPS) 和 Web 应用程序防火墙 (WAF) 系统，作为靠近互联网上公开的服务的外围保护。