厄瓜多爾最大的網(wǎng)絡(luò)運(yùn)營(yíng)商國(guó)家電信遭遇RansomEXX勒索軟件攻擊，業(yè)務(wù)運(yùn)營(yíng)、支付門戶及客戶支持全部陷入癱瘓；

　　勒索團(tuán)伙宣稱已經(jīng)拿到190 GB數(shù)據(jù)，并在隱藏的數(shù)據(jù)泄露頁(yè)面上分享了部分文檔截圖，包括聯(lián)系人列表、合同及支持日志等信息。

　　厄瓜多爾最大的網(wǎng)絡(luò)運(yùn)營(yíng)商國(guó)家電信（Corporación Nacional de Telecomunicación，簡(jiǎn)稱CNT）遭遇勒索軟件攻擊，業(yè)務(wù)運(yùn)營(yíng)、支付門戶及客戶支持全部陷入癱瘓。

　　CNT是厄瓜多爾國(guó)營(yíng)電信運(yùn)營(yíng)商，主要負(fù)責(zé)提供固定電話服務(wù)、移動(dòng)服務(wù)、衛(wèi)星電視與互聯(lián)網(wǎng)連接。

　　從上周開(kāi)始，CNT網(wǎng)站上就發(fā)布警示公告，宣稱公司遭遇攻擊，無(wú)法維持客戶服務(wù)及在線支付業(yè)務(wù)的正常訪問(wèn)。

　　關(guān)于網(wǎng)絡(luò)攻擊的官方公告

　　根據(jù)翻譯后的版本，以上公告內(nèi)容為：

　　今天，即2021年7月16日，國(guó)家電信公司CNT EP就“攻擊計(jì)算機(jī)系統(tǒng)”罪名向國(guó)家檢察長(zhǎng)辦公室提起訴訟，由此開(kāi)展初步調(diào)查并追究相關(guān)責(zé)任。

　　此次攻擊對(duì)我們的綜合服務(wù)中心及聯(lián)絡(luò)中心運(yùn)營(yíng)流程造成影響；但考慮到付費(fèi)功能已經(jīng)宕機(jī)，這里我們向用戶保證，事件處理期間您的服務(wù)不會(huì)因欠費(fèi)而中斷。

　　我們還要向各位客戶、特別是企業(yè)客戶做出保證，您的數(shù)據(jù)已經(jīng)得到適當(dāng)保護(hù)。我們的固定電話、互聯(lián)網(wǎng)及電視等服務(wù)則可以正常運(yùn)行。

　　CNT遭遇RansomEXX勒索軟件攻擊

　　盡管CNT方面并沒(méi)有就攻擊情況發(fā)布正式聲明，根據(jù)我們掌握的情況，造成此次攻擊的正是RansomEXX勒索軟件。

　　安全研究員Germán Fernández還向我們分享了關(guān)于RansomEXX數(shù)據(jù)泄露站點(diǎn)的隱藏鏈接。根據(jù)鏈接中的警告信息，可以看到如果CNT公司不支付贖金，該團(tuán)伙威脅將公開(kāi)攻擊期間竊取到的數(shù)據(jù)。

　　你們的時(shí)間不多了！

　　如果時(shí)間結(jié)束還不支付贖金，只有兩種下場(chǎng)：我們提高贖金數(shù)額，或者把你們的文件公布出去。

　　一旦數(shù)據(jù)公開(kāi)，事態(tài)將無(wú)法挽回。

　　如果不想把事情鬧得太大，記得盡快聯(lián)系我們。

　　我們已經(jīng)拿到超過(guò)190 GB的文件，而且隨時(shí)可以發(fā)布。

　　——RansomEXX

　　給CNT的RansomEXX數(shù)據(jù)泄露頁(yè)面

　　目前這個(gè)頁(yè)面處于隱藏狀態(tài)，只能以直接鏈接進(jìn)行訪問(wèn)。在勒索攻擊活動(dòng)中，黑客一方通常會(huì)把這類隱藏頁(yè)面夾帶在勒索要求當(dāng)中，用以證明自己已經(jīng)竊取到受害者的數(shù)據(jù)。

　　但在CNT的新聞聲明中，他們表示客戶、特別是企業(yè)客戶的數(shù)據(jù)仍然安全無(wú)憂，不存在泄露問(wèn)題。

　　但RansomEXX團(tuán)伙卻宣稱已經(jīng)拿到190 GB數(shù)據(jù)，并在隱藏的數(shù)據(jù)泄露頁(yè)面上分享了部分文檔截圖。

　　根據(jù)我們看到的截圖，對(duì)方應(yīng)該是拿到了聯(lián)系人列表、合同及支持日志等信息。

　　RansomEXX曾襲擊過(guò)眾多政企機(jī)構(gòu)

　　近年來(lái)，此類勒索軟件攻擊已經(jīng)在全球范圍內(nèi)引發(fā)多起大案要案，包括巴西南里奧格蘭德州法院系統(tǒng)入侵、核武器承包商Sol Oriens入侵案以及全球最大肉類供應(yīng)商JBS停運(yùn)事件。

　　這次出手的RansomEXX最初在2018年以Defray的名號(hào)首次作案，并在2020年6月改名之后以更為瘋狂的態(tài)勢(shì)向各大企業(yè)實(shí)體發(fā)動(dòng)攻擊。

　　與其他勒索軟件團(tuán)伙一樣，RansomEXX同樣通過(guò)購(gòu)買憑證、暴力破解RDP服務(wù)器以及利用安全漏洞等方式實(shí)現(xiàn)網(wǎng)絡(luò)入侵。

　　一旦進(jìn)入目標(biāo)網(wǎng)絡(luò)，他們就會(huì)悄悄在對(duì)方系統(tǒng)內(nèi)橫向移動(dòng)，同時(shí)竊取未經(jīng)加密的文件以待后續(xù)勒索。

　　在獲取管理員密碼的訪問(wèn)權(quán)限之后，他們會(huì)在目標(biāo)網(wǎng)絡(luò)上部署勒索軟件、進(jìn)而加密受害者的所有設(shè)備。

　　隨著勒索軟件攻擊愈演愈烈，RansomEXX還開(kāi)發(fā)出一款Linux版本，確保能夠?qū)⑺嘘P(guān)鍵服務(wù)器及虛擬機(jī)納入攻擊范圍。

　　RansomEXX團(tuán)伙過(guò)往的“戰(zhàn)績(jī)”堪稱耀眼，曾先后對(duì)巴西政府網(wǎng)絡(luò)、得克薩斯州交通部（TxDOT）、柯尼卡美能達(dá)、IPG Photonics以及Tyler Technologies等機(jī)構(gòu)開(kāi)展侵襲。

　　我們已經(jīng)就此事向CNT進(jìn)行求證，但目前尚未收到對(duì)方回復(fù)。