澳门浦京娱乐场

English日本語

工业互联网安全专题 > 安全资讯

欧洲能源巨头遭勒索,用1000万欧元换10TB数据?

编辑:Sandra1432 2020-04-15

近日,攻击者利用Ragnar Locker勒索App袭击了葡萄牙跨国能源企业EDP(Energias de Portugal),并且索要1580的比特币赎金(折合约1090万美金/990万欧元)。对此,EDP尚未作出回复。

EDP集团是欧洲能源行业(天然气和电力)最大的运营商之一,也是世界第四大风能生产商。该企业在全球四个大洲的19个国家/地区拥有业务,拥有超过11500名员工,并为超过1100万客户提供能源。

1.jpg

攻击者扬言“撕票”10TB的窃密数据

在这次攻击过程中,Ragnar Locker勒索App的幕后黑手声称已经获取了企业10TB的敏感数据文件,如果EDP不支付赎金,那么他们将在公开泄露这些数据。

据Ragnar的泄密网站说到:

大家已经下载了EDP组织服务器10TB的私密信息。作为证据,大家提供了一些你方企业网络中下载的文件截屏!现在这个帖子只是临时,但是如果你们不支付赎金,这也会成为永久性的页面!大家将在各大知名报社、媒体、博客公开这些文件资料,并且告知你们的客户、合作伙伴和竞争对手,所以这些文件是机密还是公开完全取决于你们!

2.jpg

Ragnar 网站的威胁通知

其中,攻击者泄露了部分文件来警告EDP,包含一个edpradmin2.kdb的文件,这是KeePass密码管理数据库。当点开这个泄露文件的链接,会直接导出EDP员工的登录名、密码、帐户、URLS以及注释。

3.png

MalwareHunter团队发现了这次勒索App的攻击样本,并找到赎金记录和Tor付款页面,攻击者在其中详细描述了解密过程和勒索金额。

根据EDP加密系统上的赎金记录,攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。

赎金说明说:“并确保,如果您不付款,所有文件和文档将被公布给所有人查看,并且大家将通过直接链接通知所有客户和合作伙伴有关这次泄漏的信息。”

4.jpg

图片来自推特

所以如果你们不想名声受损,最好尽快按要求支付赎金。

攻击者在即时窗口中嘲讽EDP

Ragnar Locker勒索App背后的操纵者还在通过“客服窗口”和EDP进行实时聊天,要求他们检查企业网站关于这个泄密威胁的通知,并询问企业是否愿意看到企业私人信息出现在快讯、技术博客和股市网站上。

他们还补充道“时不待人”,还警告EDP不要尝试使用除Ragnar Locker以外的解密器来破解文件,否则将有数据破坏和丢失的风险。

攻击者还调侃EDP如果在系统加密两天后联系他们,能够享受优惠价格。但是,他们也要等着,勒索App的即时聊天也不会全天候在线。

截止发文,EDP企业对此尚未置评。

Ragnar Locker加密过程

Ragnar Locker勒索App在2019年12月底首次被发现,专门针对托管服务提供商(MSP)的常用App,来入侵网络窃取数据文件。

MSP安全企业Huntress Labs的首席实行官Kyle Hanslovan在2月说到,他的企业发现Ragnar Locker通过MSPAppConnectWise进行了部署。

5.png

经过侦察和部署前阶段,攻击者构建针对性强的勒索App可实行文件,该可实行文件为加密文件添加了特定的扩展名,具有嵌入式RSA-2048密钥,并加入自定义勒索票据。

Ragnar Locker具有多次的赎金记录,赎金记录包括受害者的企业名称、Tor站点的链接以及包含受害者已发布数据的数据泄漏站点,赎金范围从20万美金到大约60万美金不等。

SentinelLabs对这种勒索病毒进行分析,负责人Vitali Kremez提及,Ragnar Locker首次启动时将检查配置的Windows语言首选项,如果将它们设置为前苏联国家之一,则会终止该过程并且不对计算机进行加密。如果受害者通过了此检查,则勒索App将停止上一节中所述的各种Windows服务。

现在已经准备好对计算机进行加密,Ragnar Locker将开始对计算机上的文件进行加密。

加密文件时,它将跳过以下文件夹、文件名和扩展名中的文件:

kernel32.dll

Windows

Windows.old

Tor browser

Internet Explorer

谷歌

Opera

Opera Software

Mozilla

Mozilla Firefox

$Recycle.Bin

ProgramData

All Users

autorun.inf

boot.ini

bootfont.bin

bootsect.bak

bootmgr

bootmgr.efi

bootmgfw.efi

desktop.ini

iconcache.db

ntldr

ntuser.dat

ntuser.dat.log

ntuser.ini

thumbs.db

.sys

.dll

.lnk

.msi

.drv

.exe

对于每个加密文件,文件名后都会添加一个预配置的扩展名,如.ragnar_22015ABC 。如下所示,“ RAGNAR”文件标记也将添加到每个加密文件的末尾。

6.jpg

加密文件标记

最后,将创建一个名为.RGNR_ [extension] .txt的赎金票据,其中包含有关受害者文件发生了什么情况、赎金金额、比特币支付地址、与攻击者进行通信的TOX聊天ID等信息,如果TOX则用备份的电子邮件地址。

7.png

Ragnar Locker勒索票据

目前针对Ragnar Locker勒索App加密文件尚无法解密,后续本文将持续跟进。


(转载来自:FreeBuf.com)

上一篇 下一篇

服务热线

400-624-3900

客服电话:400-624-3900

周一至周五 9:00-17:30

XML 地图 | Sitemap 地图