厄瓜多爾最大的網(wǎng)絡(luò)運營商國家電信遭遇RansomEXX勒索軟件攻擊,業(yè)務(wù)運營、支付門戶及客戶支持全部陷入癱瘓;
勒索團伙宣稱已經(jīng)拿到190 GB數(shù)據(jù),并在隱藏的數(shù)據(jù)泄露頁面上分享了部分文檔截圖,包括聯(lián)系人列表、合同及支持日志等信息。
厄瓜多爾最大的網(wǎng)絡(luò)運營商國家電信(Corporación Nacional de Telecomunicación,簡稱CNT)遭遇勒索軟件攻擊,業(yè)務(wù)運營、支付門戶及客戶支持全部陷入癱瘓。
CNT是厄瓜多爾國營電信運營商,主要負責提供固定電話服務(wù)、移動服務(wù)、衛(wèi)星電視與互聯(lián)網(wǎng)連接。
從上周開始,CNT網(wǎng)站上就發(fā)布警示公告,宣稱公司遭遇攻擊,無法維持客戶服務(wù)及在線支付業(yè)務(wù)的正常訪問。
關(guān)于網(wǎng)絡(luò)攻擊的官方公告
根據(jù)翻譯后的版本,以上公告內(nèi)容為:
今天,即2021年7月16日,國家電信公司CNT EP就“攻擊計算機系統(tǒng)”罪名向國家檢察長辦公室提起訴訟,由此開展初步調(diào)查并追究相關(guān)責任。
此次攻擊對我們的綜合服務(wù)中心及聯(lián)絡(luò)中心運營流程造成影響;但考慮到付費功能已經(jīng)宕機,這里我們向用戶保證,事件處理期間您的服務(wù)不會因欠費而中斷。
我們還要向各位客戶、特別是企業(yè)客戶做出保證,您的數(shù)據(jù)已經(jīng)得到適當保護。我們的固定電話、互聯(lián)網(wǎng)及電視等服務(wù)則可以正常運行。
CNT遭遇RansomEXX勒索軟件攻擊
盡管CNT方面并沒有就攻擊情況發(fā)布正式聲明,根據(jù)我們掌握的情況,造成此次攻擊的正是RansomEXX勒索軟件。
安全研究員Germán Fernández還向我們分享了關(guān)于RansomEXX數(shù)據(jù)泄露站點的隱藏鏈接。根據(jù)鏈接中的警告信息,可以看到如果CNT公司不支付贖金,該團伙威脅將公開攻擊期間竊取到的數(shù)據(jù)。
你們的時間不多了!
如果時間結(jié)束還不支付贖金,只有兩種下場:我們提高贖金數(shù)額,或者把你們的文件公布出去。
一旦數(shù)據(jù)公開,事態(tài)將無法挽回。
如果不想把事情鬧得太大,記得盡快聯(lián)系我們。
我們已經(jīng)拿到超過190 GB的文件,而且隨時可以發(fā)布。
——RansomEXX
給CNT的RansomEXX數(shù)據(jù)泄露頁面
目前這個頁面處于隱藏狀態(tài),只能以直接鏈接進行訪問。在勒索攻擊活動中,黑客一方通常會把這類隱藏頁面夾帶在勒索要求當中,用以證明自己已經(jīng)竊取到受害者的數(shù)據(jù)。
但在CNT的新聞聲明中,他們表示客戶、特別是企業(yè)客戶的數(shù)據(jù)仍然安全無憂,不存在泄露問題。
但RansomEXX團伙卻宣稱已經(jīng)拿到190 GB數(shù)據(jù),并在隱藏的數(shù)據(jù)泄露頁面上分享了部分文檔截圖。
根據(jù)我們看到的截圖,對方應該是拿到了聯(lián)系人列表、合同及支持日志等信息。
RansomEXX曾襲擊過眾多政企機構(gòu)
近年來,此類勒索軟件攻擊已經(jīng)在全球范圍內(nèi)引發(fā)多起大案要案,包括巴西南里奧格蘭德州法院系統(tǒng)入侵、核武器承包商Sol Oriens入侵案以及全球最大肉類供應商JBS停運事件。
這次出手的RansomEXX最初在2018年以Defray的名號首次作案,并在2020年6月改名之后以更為瘋狂的態(tài)勢向各大企業(yè)實體發(fā)動攻擊。
與其他勒索軟件團伙一樣,RansomEXX同樣通過購買憑證、暴力破解RDP服務(wù)器以及利用安全漏洞等方式實現(xiàn)網(wǎng)絡(luò)入侵。
一旦進入目標網(wǎng)絡(luò),他們就會悄悄在對方系統(tǒng)內(nèi)橫向移動,同時竊取未經(jīng)加密的文件以待后續(xù)勒索。
在獲取管理員密碼的訪問權(quán)限之后,他們會在目標網(wǎng)絡(luò)上部署勒索軟件、進而加密受害者的所有設(shè)備。
隨著勒索軟件攻擊愈演愈烈,RansomEXX還開發(fā)出一款Linux版本,確保能夠?qū)⑺嘘P(guān)鍵服務(wù)器及虛擬機納入攻擊范圍。
RansomEXX團伙過往的“戰(zhàn)績”堪稱耀眼,曾先后對巴西政府網(wǎng)絡(luò)、得克薩斯州交通部(TxDOT)、柯尼卡美能達、IPG Photonics以及Tyler Technologies等機構(gòu)開展侵襲。
我們已經(jīng)就此事向CNT進行求證,但目前尚未收到對方回復。