勒索凶猛!这个国家最大网络运营商运营被迫中断
2021-07-25
来源:工控安全漫谈
厄瓜多尔最大的网络运营商国家电信遭遇RansomEXX勒索软件攻击,业务运营、支付门户及客户支持全部陷入瘫痪;
勒索团伙宣称已经拿到190 GB数据,并在隐藏的数据泄露页面上分享了部分文档截图,包括联系人列表、合同及支持日志等信息。
厄瓜多尔最大的网络运营商国家电信(Corporación Nacional de Telecomunicación,简称CNT)遭遇勒索软件攻击,业务运营、支付门户及客户支持全部陷入瘫痪。
CNT是厄瓜多尔国营电信运营商,主要负责提供固定电话服务、移动服务、卫星电视与互联网连接。
从上周开始,CNT网站上就发布警示公告,宣称公司遭遇攻击,无法维持客户服务及在线支付业务的正常访问。
关于网络攻击的官方公告
根据翻译后的版本,以上公告内容为:
今天,即2021年7月16日,国家电信公司CNT EP就“攻击计算机系统”罪名向国家检察长办公室提起诉讼,由此开展初步调查并追究相关责任。
此次攻击对我们的综合服务中心及联络中心运营流程造成影响;但考虑到付费功能已经宕机,这里我们向用户保证,事件处理期间您的服务不会因欠费而中断。
我们还要向各位客户、特别是企业客户做出保证,您的数据已经得到适当保护。我们的固定电话、互联网及电视等服务则可以正常运行。
CNT遭遇RansomEXX勒索软件攻击
尽管CNT方面并没有就攻击情况发布正式声明,根据我们掌握的情况,造成此次攻击的正是RansomEXX勒索软件。
安全研究员Germán Fernández还向我们分享了关于RansomEXX数据泄露站点的隐藏链接。根据链接中的警告信息,可以看到如果CNT公司不支付赎金,该团伙威胁将公开攻击期间窃取到的数据。
你们的时间不多了!
如果时间结束还不支付赎金,只有两种下场:我们提高赎金数额,或者把你们的文件公布出去。
一旦数据公开,事态将无法挽回。
如果不想把事情闹得太大,记得尽快联系我们。
我们已经拿到超过190 GB的文件,而且随时可以发布。
——RansomEXX
给CNT的RansomEXX数据泄露页面
目前这个页面处于隐藏状态,只能以直接链接进行访问。在勒索攻击活动中,黑客一方通常会把这类隐藏页面夹带在勒索要求当中,用以证明自己已经窃取到受害者的数据。
但在CNT的新闻声明中,他们表示客户、特别是企业客户的数据仍然安全无忧,不存在泄露问题。
但RansomEXX团伙却宣称已经拿到190 GB数据,并在隐藏的数据泄露页面上分享了部分文档截图。
根据我们看到的截图,对方应该是拿到了联系人列表、合同及支持日志等信息。
RansomEXX曾袭击过众多政企机构
近年来,此类勒索软件攻击已经在全球范围内引发多起大案要案,包括巴西南里奥格兰德州法院系统入侵、核武器承包商Sol Oriens入侵案以及全球最大肉类供应商JBS停运事件。
这次出手的RansomEXX最初在2018年以Defray的名号首次作案,并在2020年6月改名之后以更为疯狂的态势向各大企业实体发动攻击。
与其他勒索软件团伙一样,RansomEXX同样通过购买凭证、暴力破解RDP服务器以及利用安全漏洞等方式实现网络入侵。
一旦进入目标网络,他们就会悄悄在对方系统内横向移动,同时窃取未经加密的文件以待后续勒索。
在获取管理员密码的访问权限之后,他们会在目标网络上部署勒索软件、进而加密受害者的所有设备。
随着勒索软件攻击愈演愈烈,RansomEXX还开发出一款Linux版本,确保能够将所有关键服务器及虚拟机纳入攻击范围。
RansomEXX团伙过往的“战绩”堪称耀眼,曾先后对巴西政府网络、得克萨斯州交通部(TxDOT)、柯尼卡美能达、IPG Photonics以及Tyler Technologies等机构开展侵袭。
我们已经就此事向CNT进行求证,但目前尚未收到对方回复。