信息化觀察網(wǎng)

本文來自微信公眾號(hào)“嘶吼專業(yè)版”，【作者】胡金魚。

Underground勒索軟件團(tuán)伙聲稱對(duì)上周針對(duì)日本科技巨頭卡西歐的攻擊負(fù)責(zé)，此次攻擊導(dǎo)致系統(tǒng)中斷并影響了該公司的部分服務(wù)。近日，卡西歐在其網(wǎng)站上披露了此次攻擊，但未透露有關(guān)該事件的詳細(xì)信息，稱已聘請(qǐng)外部IT專家來調(diào)查個(gè)人數(shù)據(jù)或其他機(jī)密信息是否在攻擊中被盜。

目前，Underground勒索軟件組織已將卡西歐添加到其暗網(wǎng)勒索門戶網(wǎng)站上，泄露了據(jù)稱從這家日本公司竊取的大量數(shù)據(jù)。

泄露的數(shù)據(jù)包括：社外秘、法律文件、員工個(gè)人資料、保密保密協(xié)議、員工工資信息、專利信息公司財(cái)務(wù)文件、項(xiàng)目信息、事件報(bào)告。

如果上述情況屬實(shí)，則此次攻擊已經(jīng)損害了卡西歐的員工和知識(shí)產(chǎn)權(quán)，這可能對(duì)其業(yè)務(wù)產(chǎn)生負(fù)面影響。

卡西歐數(shù)據(jù)在Underground勒索軟件門戶網(wǎng)站上泄露

有媒體再次聯(lián)系卡西歐，詢問對(duì)威脅者的說法和數(shù)據(jù)泄露發(fā)表評(píng)論，但尚未收到任何回應(yīng)。

Underground勒索軟件概述

根據(jù)Fortinet 2024年8月下旬的報(bào)告，Underground是自2023年7月以來針對(duì)Windows系統(tǒng)的規(guī)模相對(duì)較小的勒索軟件操作。

該病毒與俄羅斯網(wǎng)絡(luò)犯罪組織“RomCom”(Storm-0978)有關(guān)，該組織此前曾在被破壞的系統(tǒng)上向古巴傳播勒索軟件。

Fortinet報(bào)告稱，今年夏天，Underground勒索軟件運(yùn)營商開始利用CVE-2023-36884，這是Microsoft Office中的一個(gè)遠(yuǎn)程代碼執(zhí)行缺陷，很可能被用作感染媒介。一旦系統(tǒng)遭到破壞，攻擊者就會(huì)修改注冊(cè)表，以在用戶斷開連接后使遠(yuǎn)程桌面會(huì)話保持活動(dòng)狀態(tài)14天，從而為他們提供一個(gè)舒適的窗口來保持對(duì)系統(tǒng)的訪問。

Underground不會(huì)向加密文件附加任何文件擴(kuò)展名，并且它被配置為跳過Windows操作必需的文件類型，以避免導(dǎo)致系統(tǒng)無法使用。此外，它還會(huì)停止MS SQL Server服務(wù)，以釋放數(shù)據(jù)以供盜竊和加密，從而最大限度地?cái)U(kuò)大攻擊的影響。

與大多數(shù)Windows勒索軟件的情況一樣，Underground會(huì)刪除卷影副本，從而使數(shù)據(jù)無法輕松恢復(fù)。

Underground的勒索信

Underground勒索策略的一個(gè)獨(dú)特特征是，它還會(huì)泄露Mega上被盜的數(shù)據(jù)，通過其Telegram頻道推廣指向那里托管的檔案的鏈接，從而最大限度地提高數(shù)據(jù)的曝光度和可用性。

Underground勒索軟件的勒索門戶目前列出了17名受害者，其中大多數(shù)位于美國。

卡西歐的攻擊是否會(huì)成為威脅組織進(jìn)入主流的突破口，進(jìn)而帶來更高的攻擊量節(jié)奏，還有待觀察。

參考及來源：https://www.bleepingcomputer.com/news/security/underground-ransomware-claims-attack-on-casio-leaks-stolen-data/