在一行干习惯了突然隐退,很容易又怀念曾经的职业生涯。对此,Babuk勒索软件运营商深有体会。
完成了进攻华盛顿特区警署的收官之作后,Babuk成员宣布了他们将正式从勒索软件大学毕业的消息,浪子决定走上回头路。不过,他们还没来得及沉淀为经典icon,又转头复出,回锅成了当红炸子鸡,并带来了最新作品——日企YAMABIKO勒索案。
Yamabiko是一家电动工具和农工业机械制造商,总部位于东京。尽管YAMABIKO还没有酝酿出正式声明,但有媒体报道,Babuk方已经在自己的泄露网站上公布出了盗自YAMABIKO的部分数据。数据总量据说有0.5TB。
为什么这群手握键盘的黑客打起了Yamabiko的算盘?查查Yamabiko的账本便不难回答。作为一家年收入超过10亿美元的殷实企业,Yamabiko的铜香让Babuk慕名而来,为此不惜打破金盆洗手的誓言。从目前的情况来看,Babuk短期内应该不会再离开这片江湖。
在最近的访问中,Babuk说他们正着手利用一个VPN 0day漏洞。某家日媒近期也报道过,VPN产品是勒索软件攻击日本企业的最佳助手。因此,存在VPN相关的漏洞,可能是Yamabiko破防的一个原因。
至于Babuk此次复出能否收到心仪的出场费,即便结果还不见分晓,但已有媒体开始唱衰。日本企业一向是一块不好啃的犟骨头,是勒索软件最头疼的协商对手。拿最近的卡普空被勒索事件举例,Ragnar Locker向其要出1100亿美元赎金,但卡普空一直无视他们的对谈邀请,像冷眼旁观一个跳梁小丑。
上周,DarkSide勒索软件加密了美国最大燃油管道公司Colonial Pipeline的网络,导致18州进入紧急状态,可谓一鸣惊人,一战封神。(详见上期报道:最大燃料管道商遭网络攻击停运,美国18州进入紧急状态)
或许是作案方本人也被事态的爆破式发展状况吓到,前天,DarkSide发布公告,声明团队的行为并不受任何政治倾向的驱使,勒索企业纯粹是想借此赚钱。此外,团队保证,今后实施加密攻击前,他们一定会把握好度,并且事先审查好目标企业,避免再出现社会失序的状况。
DarkSide是典型的“勒索即服务”团队,成员被划分为两个群体。一部分人负责核心的运营业务以及开发勒索软件,另一部分人由前者雇佣,主要工作是入侵目标企业网络,并部署勒索软件。根据这一分工,核心运营成员可以分得2-3成赎金,剩余钱款将被余下成员纳入囊中。
如果DarkSide所言不虚,这一决定对于关键基础设施、医疗保健和政府机构等组织而言可谓是个好消息。不过,DarkSide的审查机制一出,也可能导致他的下游“盟友”转投其他勒索团队麾下。
西米德兰郡铁路的近2500名员工最近收到了一封据说是由总经理 Julian Edwards发出的邮件,邮件感谢了他们在疫情肆虐的2020年的卖力付出,并“端上一盆大饼”,承诺公司将为此向每位员工发放一笔奖励,一次性到账。
然而,当他们点击一条貌似会跳转到Edwards致谢页的链接时,出来接待他们的却是IT部门的泼下的一盆冷水。IT向他们致以问候,解释说这封邮件只是一场对他们安全意识的测试。冷水浇懵了这群被钓上岸的鱼儿。
听闻这场事件后,西米德兰郡铁路工会用“粗鲁”“该受谴责”之类的词汇,对这场钓鱼行动进行了猛烈抨击。他们认为公司层面以“新冠”“奖金”作为噱头诱使员工掉进陷阱,非常没有同理心。在疫情持续的这一年多里,为了保障大家出行,西米德兰郡铁路的员工一直奋战在一线。员工当中,感染过新冠的不在少数,有一位甚至因此丧生。
工会称,公司必须出面收拾这摊由他们搞砸的残局。如果想测试员工的网络安全意识或者是系统的安全性,他们大可以打出其他的幌子。用莫须有的奖金哄骗这群在困难的工作环境中坚持付出的可靠员工,有悖员工对公司的信任。
西米德兰郡铁路的发言人却解释,用钓鱼邮件发动攻击是黑客的常用手段,这场演练不过是一次非常逼真的呈现。公司非常看重网络安全,平时也会经常安排相关培训,借助模拟演练来测试培训成效是必不可少的。得亏这只是一场演习,没有造成实际的损失。
来源:安全客