近日,美国能源服务公司BHI Energy罕见地披露了网络攻击详情,包括Akira勒索软件如何在攻击期间入侵其网络并窃取数据。
BHI Energy隶属于西屋电气公司,是一家专业工程服务和人员配备解决方案提供商,为私营和政府运营的石油和天然气、核能、风能、太阳能和化石发电装置以及输配电设施提供支持。
在向受影响人员发送的数据泄露通知中,BHI Energy披露了有关Akira勒索软件团伙如何于2023年5月30日入侵其网络的详细信息。
Akira首先使用窃取的第三方承包商的VPN账号初始访问BHI Energy的内部网络。
根据数据泄露通知:“在初始访问一周后,Akira使用同一受感染帐户对BHI的内部网络进行了侦察。”
Akira于2023年6月16日再次访问了BHI的内部网络并清点了将要窃取的数据。6月20日至29日期间,Akira窃取了76.7万个文件约690GB数据,其中包括BHI的Windows Active Directory数据库。
最后,在2023年6月29日,在Akira从BHI内部网络窃取了所有目标数据后,在所有设备上部署了Akira勒索软件来加密文件。此时,BHI的IT团队才意识到公司已受到攻击。
BHI表示,他们立即通知了执法部门并与外部专家合作恢复受影响的系统。Akira在BHI网络上的立足点已于2023年7月7日被清除。
BHI还表示,由于云备份解决方案中的数据未受勒索软件攻击影响(加密),因此能够在不支付赎金的情况下恢复系统。
此外,BHI还加强了安全措施,具体措施包括对VPN访问实施多因素身份验证、执行全局密码重置、扩展EDR和AV工具的部署以覆盖其环境中的所有资产,以及淘汰旧系统等。
参考链接:
https://www.documentcloud.org/documents/24075435-bhi-notice
来源:GoUpSec