安全研究 >> 安全研究详情

美国核武器承包商遭勒索软件攻击,部分数据泄露

作者: 美创科技安全实验室发布日期: 06月15日

美国核武器承包商Sol Oriens遭到了REvil勒索软件攻击,可能已经泄露部分数据,目前调查仍在进行中。该公司称其主要协助国防部、能源部、航空航天承包商和技术公司开展复杂的项目,专注于确保拥有成熟的技术来维持强大的国防。


Sol Oriens通过媒体发布声明:


“2021年5月,Sol Oriens检测到了(勒索软件)网络安全事件。调查正在进行中,我们确定未经授权的个人从我们的系统中获取了某些文件。这些文件目前正在审查中,我们正在与第三方技术取证公司合作,以确定可能涉及的潜在数据的范围。我们目前没有发现迹象表明此事件涉及客户机密或与安全相关的关键信息。一旦调查结束,我们将致力于通知相关个人和实体……





目前来看,REvil团伙已将攻击期间窃取的部分数据公布在了暗网上,其中包括业务数据和员工信息,例如员工社会安全号码、招聘概览文件、工资单文件和工资报告等。至于REvil(或者任何对这次袭击负责的团伙)是否得到了美国核武器的更敏感、更秘密的信息还有待观察。但是,黑客从核武器承包商那里拿到任何信息都足以让人深感担忧。



REvil勒索软件有多猖狂


REvil勒索软件组织向来以胆大包天著称,它敢于对世界上庞大和重要的组织发动进攻并所要天价赎金。本月早些时候,全球最大的肉类加工企业JBS已经发布声明向REvil支付了价值1100万美元的赎金。此前,计算机巨头宏碁(acer)也遭到了REvil勒索软件攻击,并索要了5000万美元(约3.25亿人民币)。



REvil勒索软件传播方式


REvil勒索病毒首次出现于2019年4月底。在REvil勒索病毒活动的初期,曾通过漏洞利用的手法来进行攻击,被披露的漏洞利用包括Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞(CVE-2019-2725)等。或许是漏洞利用的目标范围较小,攻击过程较为复杂,从2019年7月份开始,该勒索病毒的攻击手法逐渐演变成较为迅速的RDP爆破。主要攻击过程为,先使用扫描爆破等方式,获取到内网中一台较为薄弱的主机权限,再上传黑客工具包对内网进行扫描爆破或密码抓取,选择重要的服务器和PC进行加密,可谓一台失陷,全网遭殃。



勒索软件预防建议


面对严峻的勒索病毒威胁态势,美创安全实验室提醒广大用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染:


1、及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。


2、尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。


3、不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。


4、企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不再使用的账户。


5、对重要的数据文件定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。


6、尽量关闭不必要的文件共享。


7、提高安全运维人员职业素养,定期进行木马病毒查杀。


8、部署美创数据库防火墙,可专门针对RushQL数据库勒索病毒进行防护。


9、安装诺亚防勒索软件,防御已知或未知的勒索病毒

服务热线:400-811-3777
Copyright ©2005-2020 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1 网站地图