电脑巨头宏碁(Acer)遭遇REvil勒索软件攻击,威胁方开出了迄今为止最高数额的赎金——5000万美元(约3.25亿人民币)。
宏碁是中国台湾的电子与计算机制造商,核心产品包括笔记本电脑、台式机与显示器等,拥有约7000名员工,2019年营收达78亿美元。就在昨天,REvil勒索软件团伙在其数据泄露站点上宣布他们已经成功入侵宏碁的系统,并同时公布了几张作为证据的被盗文件截图。 他们发布的图像包括关于财务电子表格、银行结余以及银行往来信息的文档。
面对采访询问,宏碁官方并没有明确回应他们是否遭受REvil勒索软件攻击,只是强调已经向相关地方执法机关与数据保护部门上报了近期发现的异常情况。以下为宏碁给出的完整回复:
“宏碁定期监控内部IT系统,大多数网络攻击都得到有效阻断。宏碁这样的企业经常遭遇攻击,我们也已经向多个国家的地方执法机关与数据保护部门上报了近期发现的异常情况。”
“我们一直在不断完善网络安全基础设施,努力保护业务连续性与信息完整性。我们敦促一切企业及组织遵守网络安全规定与信息完整性要求,并警惕可能出现的各种异常网络活动”
“调查目前仍在进行,为了安全起见,我们无法就细节发表任何评论。”
一、赎金数额创下历史新高
在相关报道发布之后,LegMagIT的Valery Marchive发现了此次宏碁攻击事件中使用的REvil勒索软件样本,可以看到威胁方开出的赎金高达5000万美元。不久之后,我们也找到了这份样本,并根据赎金记录与双方沟通内容确认了该样本确实来自宏碁遇袭事件。在受害者与REvil团伙的对话(始于3月14日)中,宏碁方面的代表对5000万美元这一恐怖数字感到无比震惊。而在稍后的协商中,REvil团伙给出了指向宏碁数据泄露页面的链接(在双方实际对话时,此页面还并未公开)。如果宏碁愿意在本周三之前付款,攻击方表示愿意提供20%的赎金折扣。在收到款项后,REvil团伙将提供解密器、漏洞报告并承诺删除窃取到的文件。REvil团伙向宏碁发出威胁,称“不要重蹈SolarWInd的覆辙。”REvil团伙提出的5000万美元数额打破了迄今为止已知的赎金纪录。在此之前,REvil曾经向牛奶集团发动攻击并要求其支付3000万美元赎金。
二、问题可能出在微软Exchange身上
Vitali Kremez在采访中表示,威胁情报公司Advanced Intel的情报平台监测到,REvil团伙近期曾将矛头指向宏碁域内的微软Exchange服务器。Kremez在采访中提到,“Advanced Intel的情报系统检测到,REvil下辖的某小组正打算利用微软Exchange漏洞发起攻击。”DearCry勒索软件背后的攻击者之前也曾使用ProxyLogon漏洞部署勒索软件,但行动规模较小,受害者也更少。如果REvil确实利用了近期微软Exchange安全漏洞窃取数据或者加密锁定目标设备,将成为“大型目标狩猎”勒索攻击中首次使用这一攻击向量。
来源:https://cstis.cn/post/84741a7f-a31c-349b-8a4b-f9e988a1b620