根據媒體報道,上個(gè)月(yuè)雅馬哈發動機的(de)菲律賓摩托車制造子公司遭到了(le)一次勒索軟件攻擊,導緻員(yuán)工個(gè)人(rén)信息數據洩露。
在10月(yuè)25日發現漏洞後,雅馬哈方面立即聘請了(le)外部網絡安全專家進行事件調查。随後,公司披露了(le)其菲律賓摩托車制造和(hé)銷售子公司雅馬哈汽車菲律賓股份有限公司(YMPH)管理(lǐ)的(de)一台服務器受到未經第三方授權的(de)非法訪問,并成爲了(le)勒索軟件攻擊的(de)目标。
目前,已證實雅馬哈菲律賓摩托車制造子公司(YMPH)的(de)員(yuán)工個(gè)人(rén)數據遭到偷取。雅馬哈公司一直強調,威脅攻擊者是針對(duì)雅馬哈發動機菲律賓子公司的(de)一台服務器進行的(de)入侵,且此次事件并未對(duì)雅馬哈發動機集團總部或其他(tā)子公司産生影(yǐng)響。
值得(de)關注的(de)是,盡管雅馬哈公司尚未公開披露此次攻擊事件的(de)背後幕後黑(hēi)手是哪個(gè)威脅組織,但INC勒索軟件團夥已聲稱對(duì)此次襲擊負責,并公開洩露了(le)從雅馬哈汽車菲律賓子公司竊取的(de)數據信息。數天前,攻擊者将雅馬哈列爲其暗網洩露網站上的(de)目标,并公布了(le)多(duō)個(gè)文件檔案,其中包括約37GB的(de)被盜數據,涵蓋了(le)員(yuán)工身份信息、備份文件、公司和(hé)銷售信息等。
新消息顯示,INC勒索軟件團夥于2023年8月(yuè)亮相,其主要目标爲醫藥保健、教育等多(duō)個(gè)領域的(de)組織,采用(yòng)雙重勒索攻擊手法。截至目前,INC Ransom在其洩密網站上已列出30個(gè)受害者。需要強調的(de)是,實際被該團夥入侵的(de)組織數量可(kě)能更多(duō),因爲拒絕支付贖金的(de)受害者才會被公開披露在數據洩露網站上。
根據SentinelOne的(de)報告,威脅攻擊者通(tōng)過設計的(de)魚叉式網絡釣魚電子郵件獲取目标網絡訪問權限。此外,他(tā)們還(hái)利用(yòng)了(le)Citrix NetScaler CVE-2023-3519漏洞。一旦獲得(de)訪問權限,攻擊者通(tōng)過網絡橫向移動,首先獲取并下(xià)載敏感文件以用(yòng)于勒索,然後部署勒索軟件有效載荷,對(duì)被入侵的(de)系統進行加密。除此之外,INC-README.TXT和(hé)INC-README.HTML文件會自動投放到每個(gè)帶有加密文件的(de)文件夾中,以提供關于勒索事件的(de)說明(míng)。
在成功實施網絡攻擊後,勒索軟件團夥采用(yòng)公開威脅的(de)方式,在其洩密網站上披露所有被盜數據,向受害者發出一份72小時(shí)的(de)通(tōng)牒,要求支付贖金。除了(le)勒索外,威脅攻擊者還(hái)承諾向受害者提供有關初始攻擊方法的(de)詳細信息、網絡安全指南(nán)以及有關數據銷毀證據的(de)完整資料。他(tā)們聲稱“保證”不再對(duì)該組織進行進一步的(de)網絡攻擊。
(來(lái)源:安鸾網絡安全學院)
