埃森哲發(fā)送了一份內(nèi)部備忘錄,確認(rèn)攻擊者在7月30日的“事件”中竊取了客戶信息和工作材料,。
CyberScoop報(bào)告稱,,該備忘錄淡化了勒索軟件攻擊的影響。該媒體引用了埃森哲的內(nèi)部備忘錄:“雖然肇事者能夠獲得某些涉及少數(shù)客戶的文件和我們?yōu)榭蛻魷?zhǔn)備的某些工作材料,,但這些信息都不是高度敏感的,。”Threatpost已致電希望埃森哲對CyberScoop的報(bào)告發(fā)表評論,。
本周早些時(shí)候,,LockBit勒索軟件即服務(wù)(RaaS)團(tuán)伙公布了埃森哲(Accenture)的名字和標(biāo)識,該公司現(xiàn)已被證實(shí)是最新的受害者之一,。埃森哲是一家全球商業(yè)咨詢公司,,掌握著一些世界上最大、最有影響力的公司的內(nèi)部信息,。
埃森哲的客戶包括《財(cái)富》中91家全球100強(qiáng)企業(yè)和超過四分之三的全球500強(qiáng)企業(yè),。根據(jù)其2020年年度報(bào)告,其中包括電子商務(wù)巨頭阿里巴巴,、思科和谷歌,。埃森哲市值約443億美元,是全球最大的科技咨詢公司之一,,在50個(gè)國家/地區(qū)擁有約569,000名員工,。
在一篇發(fā)布在暗網(wǎng)的帖子中,LockBit上傳了埃森哲數(shù)據(jù)庫以供出售,,同時(shí)還對埃森哲岌岌可危的安全進(jìn)行了必要的抨擊,。
“這些人無視了了隱私和安全。我真的希望他們的服務(wù)比我這個(gè)內(nèi)部人員看到的要做得更好,。如果您有興趣購買這些數(shù)據(jù)庫,,請聯(lián)系我們?!?/p>
—LockBit 網(wǎng)站帖子,。
據(jù)安全事務(wù)部稱,在支付贖金的時(shí)限結(jié)束的時(shí)候,,泄漏站點(diǎn)顯示了一個(gè)名為W1的文件夾,,其中包含據(jù)稱從公司竊取的PDF文檔集合。LockBit運(yùn)營商聲稱已獲得埃森哲網(wǎng)絡(luò)的訪問權(quán)限,,并準(zhǔn)備在格林威治標(biāo)準(zhǔn)時(shí)間17:30:00泄露從埃森哲服務(wù)器上竊取的文件,。
在美國東部時(shí)間周三上午晚些時(shí)候,,這一消息成為頭條新聞,此前CNBC記者Eamon Javers在推特上發(fā)布了關(guān)于該團(tuán)伙聲稱將在未來幾個(gè)小時(shí)內(nèi)發(fā)布數(shù)據(jù)并愿意向感興趣的各方出售埃森哲內(nèi)部信息的消息,。
CNBC獲悉,,一個(gè)使用Lockbit Ransomware的黑客組織表示,他們已經(jīng)入侵了咨詢公司埃森哲,,并將在幾個(gè)小時(shí)內(nèi)發(fā)布數(shù)據(jù),。他們還提出向感興趣的各方出售埃森哲內(nèi)部信息。
幸運(yùn)的是有備份
埃森哲證實(shí):“是的,,我們被攻擊了,,但現(xiàn)在問題不大。通過我們的安全控制和協(xié)議,,我們在我們的一個(gè)環(huán)境中發(fā)現(xiàn)了不正?;顒?dòng)。我們立即控制了此事件并隔離了受影響的服務(wù)器,?!薄巴瑫r(shí)我們從備份中完全恢復(fù)了受影響的系統(tǒng),對埃森哲的運(yùn)營或我們客戶的系統(tǒng)不會有任何影響,?!?/p>
據(jù)BleepingComputer稱,威脅要發(fā)布埃森哲數(shù)據(jù)(據(jù)稱在最近的一次網(wǎng)絡(luò)攻擊中被盜)的組織被稱為LockBit 2.0,。
正如Cybereason的Tony Bradley在周三的帖子中所解釋的那樣,,LockBit團(tuán)伙類似于它的勒索軟件即服務(wù)(RaaS)兄弟公司DarkSide和REvil。LockBit使用附屬模式出租其勒索軟件平臺,,從由此產(chǎn)生的任何贖金中抽取一部分,。
布拉德利指出,在DarkSide和REvil兩家公司關(guān)閉運(yùn)營后,,LockBit團(tuán)伙顯然正在瘋狂招聘,。
本周早些時(shí)候,澳大利亞政府警告LockBit 2.0勒索軟件攻擊升級,,此前有人看到該團(tuán)伙大肆搜羅他們計(jì)劃攻擊的那些公司的內(nèi)部人員,,以數(shù)百萬美元作為獎(jiǎng)勵(lì)。
內(nèi)部人員,?
Cyble研究人員在推文中表示,,這可能是內(nèi)部人員所導(dǎo)致的?!拔覀冎?LockBit #threatactor一直在雇用企業(yè)員工以來訪問他們目標(biāo)公司的網(wǎng)絡(luò),,”該公司在推特上寫道,同時(shí)還附有一個(gè)時(shí)鐘,,它在計(jì)時(shí)埃森哲還剩多少時(shí)間來支付贖金,。
潛在的內(nèi)部威脅,?我們知道#LockBit #threatactor一直在雇傭企業(yè)員工來訪問他們目標(biāo)公司的網(wǎng)絡(luò)。#ransomware #cyber #cybersecurity #infosec <accenture pic.twitter.com/ZierqRVIjj
— Cyble(@AuCyble)2021年8月11日
在Cyble研究團(tuán)隊(duì)看到的對話中,,LockBit勒索軟件團(tuán)伙聲稱已從埃森哲竊取了6TB的數(shù)據(jù),,要求其支付5000萬美元(約3.2億人民幣)的贖金。這伙威脅分子稱已通過公司“內(nèi)部人員”訪問了埃森哲的網(wǎng)絡(luò),,并且這些內(nèi)部人員“仍在那里工作”,,盡管Cyble稱這“不太可能”。
熟悉此次攻擊的消息人士告訴 BleepingComputer,,埃森哲向至少一家計(jì)算機(jī)電話集成(CTI)供應(yīng)商證實(shí)遭到了勒索軟件攻擊,,并且正在通知更多客戶。根據(jù)威脅情報(bào)公司Hudson Rock的一條推文,,埃森哲有2500臺屬于員工和合作伙伴的計(jì)算機(jī)已中招,埃森哲也確實(shí)在暗示“這些信息肯定被威脅行為者使用了”,。
在上周發(fā)布的安全警報(bào)中,,澳大利亞網(wǎng)絡(luò)安全中心(ACSC)警告稱,針對澳大利亞組織的LockBit 2.0勒索軟件攻擊從上個(gè)月開始上升,。
警報(bào)稱:“此活動(dòng)發(fā)生在多個(gè)行業(yè)領(lǐng)域,。”“受害者收到了支付贖金的要求,。除了數(shù)據(jù)加密之外,,受害者還收到了將公布事件期間被盜數(shù)據(jù)的威脅?!?/p>
ACSC指出(PDF),,最近觀察到LockBit威脅參與者積極利用Fortinet FortiOS和FortiProxy產(chǎn)品中的現(xiàn)有漏洞(CVE-2018-13379),以獲得對特定受害者網(wǎng)絡(luò)的初始訪問權(quán)限,。該漏洞是SSL VPN中的一個(gè)路徑遍歷缺陷,,多年來已被多次攻擊利用:
4月,聯(lián)邦調(diào)查局和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)警告說,,APT民族國家行為者正在積極利用它在網(wǎng)絡(luò)中站穩(wěn)腳跟,,然后再進(jìn)行橫向移動(dòng)和偵察等。
已知漏洞被利用,?
第三方風(fēng)險(xiǎn)管理公司Shared Assessments的副總裁Ron Bradley周三向Threatpost表示,,埃森哲事件是關(guān)于“業(yè)務(wù)彈性和業(yè)務(wù)連續(xù)性之間差異的一個(gè)典型例子。業(yè)務(wù)彈性就像在拳擊比賽中,,您受到了身體的打擊,,但可以繼續(xù)戰(zhàn)斗。業(yè)務(wù)連續(xù)性則是在運(yùn)營停止或嚴(yán)重受損并且您必須付出巨大努力才能恢復(fù)時(shí)發(fā)揮作用,。
布拉德利繼續(xù)說道:”埃森哲的這個(gè)特殊例子很有趣,,因?yàn)樗且粋€(gè)已知/公開的漏洞,。“”它強(qiáng)調(diào)了確保及時(shí)正確修補(bǔ)系統(tǒng)的重要性,。埃森哲有能力管理可能被盜數(shù)據(jù)的影響,,這將是許多企業(yè)未來的重要一課?!?/p>
網(wǎng)絡(luò)安全公司Vectra的總裁兼首席執(zhí)行官Hitesh Sheth表示,,所有企業(yè)都應(yīng)該預(yù)料到這樣的攻擊,尤其是一家與這么多公司有聯(lián)系的全球咨詢公司,。
”最初的報(bào)告表明,,埃森哲制定了數(shù)據(jù)備份協(xié)議,并迅速采取行動(dòng)隔離受影響的服務(wù)器,?!啊爆F(xiàn)在讓第三方觀察者評估損失還為時(shí)過早。然而,,這又一次提醒企業(yè)檢查其供應(yīng)商,、合作伙伴和提供商的安全標(biāo)準(zhǔn)。每個(gè)企業(yè)都應(yīng)該預(yù)料到這樣的攻擊——也許尤其是一家與許多其他公司有聯(lián)系的全球咨詢公司,。重要的是您如何預(yù)測,、計(jì)劃和從攻擊中恢復(fù)?!?/p>