信息化觀察網(wǎng)

勞動(dòng)管理平臺(tái)Kronos遭到勒索軟件攻擊，它說這將會(huì)使其云端服務(wù)在幾周內(nèi)無(wú)法使用。它建議客戶使用其他方式來完成工資核算和其他人力資源活動(dòng)。

這次故障給客戶帶來了災(zāi)難性的后果。

Kronos提供了一系列的解決方案，包括員工的日程安排、薪酬管理、工資和工時(shí)、福利管理、休假管理、人才招聘、入職培訓(xùn)等內(nèi)容。它的客戶包括很多世界上最大的公司，如特斯拉和彪馬，以及各種衛(wèi)生、公共部門和知名大學(xué)、基督教青年會(huì)等組織，以及餐館和零售商等小型企業(yè)。

在周日下午晚些時(shí)候發(fā)給Kronos私有云（KPC）的客戶信息中，該公司表示，從周六開始，有幾個(gè)解決方案已經(jīng)開始使用了。

該公司在通知中說，目前，我們還沒有一個(gè)準(zhǔn)確的恢復(fù)時(shí)間，這個(gè)問題可能至少需要幾天才能解決。該公司在周一的更新中把這個(gè)時(shí)間段擴(kuò)大到了可能需要幾周。我們建議那些受影響的客戶使用其他計(jì)劃來處理考勤數(shù)據(jù)，進(jìn)行工資處理，管理時(shí)間，以及其他對(duì)該組織很重要的相關(guān)操作。

它補(bǔ)充說，公司內(nèi)部的部署目前并不受影響，UKG Pro、UKG Dimensions或UKG Ready產(chǎn)品也沒有受到影響。

該公司說，我們已經(jīng)認(rèn)識(shí)到這些解決方案對(duì)貴組織的重要性。我們已經(jīng)積極調(diào)動(dòng)了我們所掌握的所有資源來解決這個(gè)問題。

客戶的混亂

直到周末，該攻擊的其他細(xì)節(jié)并沒有公布，這讓客戶感到很懊惱。

一條評(píng)論在通知頁(yè)面上寫道，這并沒有告訴我們什么，我們的數(shù)據(jù)還在那里嗎？發(fā)生了什么？為什么要保密？

安全專家指出，攻擊者最初用來訪問服務(wù)器的載體還是未知的。

他通過電子郵件說，盡管Kronos私有云有防火墻、加密傳輸和多因素認(rèn)證的保護(hù)，但網(wǎng)絡(luò)犯罪分子仍然能夠攻擊并對(duì)其服務(wù)器進(jìn)行加密。雖然目前還不清楚這一漏洞是如何發(fā)生的，但Kronos預(yù)測(cè)他們的私有云解決方案在數(shù)周內(nèi)還是無(wú)法使用的。這種長(zhǎng)時(shí)間的關(guān)閉可能會(huì)給許多組織帶來很多問題，因?yàn)樗麄冃枰Y(jié)算薪資，員工需要在假期前要申請(qǐng)休假。

事實(shí)上，許多客戶在評(píng)論中談到了這次故障在他們的組織內(nèi)造成了很大的混亂，其中一些人指出，在他們看來，長(zhǎng)時(shí)間的服務(wù)中斷是完全不可接受的。

安全專家認(rèn)為，他很難相信這么大的公司幾乎沒有制定任何應(yīng)急響應(yīng)措施。任何一個(gè)應(yīng)用托管公司都會(huì)有對(duì)最壞情況的容災(zāi)恢復(fù)計(jì)劃。在消防和警察部門，這些數(shù)據(jù)對(duì)于公眾和我們的人來說是很重大的問題。我對(duì)他們不知道到底發(fā)生了什么感到十分的沮喪和憤怒。

另一個(gè)人指出，我們有50,000名員工，沒有計(jì)時(shí)系統(tǒng)，管理起來并不容易。至少可以說非常失望......這很荒謬，應(yīng)該及時(shí)告訴我們客戶到底發(fā)生了什么。

然而，另一個(gè)人說，我們需要盡快查找到這個(gè)問題。我們甚至都不知道明天誰(shuí)會(huì)在哪里工作。如果這種情況再次發(fā)生，誰(shuí)有好的后備方案？

一個(gè)勒索軟件事件

一些客戶認(rèn)為Kronos的數(shù)據(jù)中心可能受到了正在互聯(lián)網(wǎng)上肆虐的Log4Shell漏洞的影響，但Kronos的執(zhí)行副總裁在周一的更新中澄清說，這個(gè)問題是一個(gè)勒索軟件事件，它仍然在評(píng)估受影響的范圍以及此次網(wǎng)絡(luò)攻擊對(duì)其系統(tǒng)和數(shù)據(jù)的影響。

他補(bǔ)充說，鑒于恢復(fù)系統(tǒng)的可用性可能需要數(shù)周時(shí)間，我們強(qiáng)烈建議你使用與受影響的UKG解決方案相關(guān)的替代協(xié)議。

安全意識(shí)倡導(dǎo)者Erich Kron指出，這次攻擊的時(shí)間點(diǎn)在年末，而企業(yè)不僅要管理工資，還要管理獎(jiǎng)金和其他款項(xiàng)，此次攻擊并不是巧合。

他通過電子郵件說，勒索軟件團(tuán)伙經(jīng)常將攻擊的時(shí)間定在假期內(nèi)組織人手不足的時(shí)候，或者在他們非常忙碌的時(shí)候，他們希望攻擊耗費(fèi)更長(zhǎng)的時(shí)間才被發(fā)現(xiàn)，那么應(yīng)急響應(yīng)的時(shí)間也會(huì)用的更多。此外，在這些關(guān)鍵時(shí)期，為客戶提供服務(wù)的壓力會(huì)可能非常大，這使得受害者更有可能盡快支付贖金，努力使業(yè)務(wù)迅速恢復(fù)運(yùn)行。

對(duì)于此事，客戶再次做出了關(guān)切。

一位客戶說："我們正在禁用所有ADFS和LDAP與UKG/Kronos Cloud的連接，他們是一個(gè)不值得信任的公司。"

一些人對(duì)他們存放在Kronos云中的數(shù)據(jù)的安全性表示擔(dān)憂，至少有一位客戶對(duì)該公司的備份還有疑問。該人士說："備份在哪里，備份能不能被恢復(fù)，備份是否與生產(chǎn)環(huán)境存儲(chǔ)在同一個(gè)空間。"

安全專家說，這種情況表明，企業(yè)必須積極準(zhǔn)備應(yīng)對(duì)勒索軟件攻擊。他說："這次攻擊使人們認(rèn)識(shí)到，企業(yè)需要快速有效制定容災(zāi)恢復(fù)和持續(xù)運(yùn)營(yíng)計(jì)劃。企業(yè)越是嚴(yán)重依賴技術(shù)服務(wù)，甚至是云端的技術(shù)服務(wù)，就越需要有一個(gè)在沒有這些服務(wù)的情況下依然能夠運(yùn)行的計(jì)劃，哪怕是短時(shí)間的。

不幸的是，Kronos已經(jīng)影響到了很多使用KPC服務(wù)的人的活動(dòng)了。

本文翻譯自：https://threatpost.com/kronos-ransomware-outage-payroll-chaos/176984/