埃森哲發(fā)送了一份內(nèi)部備忘錄，確認(rèn)攻擊者在7月30日的“事件”中竊取了客戶信息和工作材料。

　　CyberScoop報(bào)告稱，該備忘錄淡化了勒索軟件攻擊的影響。該媒體引用了埃森哲的內(nèi)部備忘錄：“雖然肇事者能夠獲得某些涉及少數(shù)客戶的文件和我們?yōu)榭蛻魷?zhǔn)備的某些工作材料，但這些信息都不是高度敏感的。”Threatpost已致電希望埃森哲對(duì)CyberScoop的報(bào)告發(fā)表評(píng)論。

　　本周早些時(shí)候，LockBit勒索軟件即服務(wù)（RaaS）團(tuán)伙公布了埃森哲（Accenture）的名字和標(biāo)識(shí)，該公司現(xiàn)已被證實(shí)是最新的受害者之一。埃森哲是一家全球商業(yè)咨詢公司，掌握著一些世界上最大、最有影響力的公司的內(nèi)部信息。

　　埃森哲的客戶包括《財(cái)富》中91家全球100強(qiáng)企業(yè)和超過(guò)四分之三的全球500強(qiáng)企業(yè)。根據(jù)其2020年年度報(bào)告，其中包括電子商務(wù)巨頭阿里巴巴、思科和谷歌。埃森哲市值約443億美元，是全球最大的科技咨詢公司之一，在50個(gè)國(guó)家/地區(qū)擁有約569,000名員工。

　　在一篇發(fā)布在暗網(wǎng)的帖子中，LockBit上傳了埃森哲數(shù)據(jù)庫(kù)以供出售，同時(shí)還對(duì)埃森哲岌岌可危的安全進(jìn)行了必要的抨擊。

　　“這些人無(wú)視了了隱私和安全。我真的希望他們的服務(wù)比我這個(gè)內(nèi)部人員看到的要做得更好。如果您有興趣購(gòu)買(mǎi)這些數(shù)據(jù)庫(kù)，請(qǐng)聯(lián)系我們?！?/p>

　　—LockBit 網(wǎng)站帖子。

　　據(jù)安全事務(wù)部稱，在支付贖金的時(shí)限結(jié)束的時(shí)候，泄漏站點(diǎn)顯示了一個(gè)名為W1的文件夾，其中包含據(jù)稱從公司竊取的PDF文檔集合。LockBit運(yùn)營(yíng)商聲稱已獲得埃森哲網(wǎng)絡(luò)的訪問(wèn)權(quán)限，并準(zhǔn)備在格林威治標(biāo)準(zhǔn)時(shí)間17:30:00泄露從埃森哲服務(wù)器上竊取的文件。

　　在美國(guó)東部時(shí)間周三上午晚些時(shí)候，這一消息成為頭條新聞，此前CNBC記者Eamon Javers在推特上發(fā)布了關(guān)于該團(tuán)伙聲稱將在未來(lái)幾個(gè)小時(shí)內(nèi)發(fā)布數(shù)據(jù)并愿意向感興趣的各方出售埃森哲內(nèi)部信息的消息。

　　CNBC獲悉，一個(gè)使用Lockbit Ransomware的黑客組織表示，他們已經(jīng)入侵了咨詢公司埃森哲，并將在幾個(gè)小時(shí)內(nèi)發(fā)布數(shù)據(jù)。他們還提出向感興趣的各方出售埃森哲內(nèi)部信息。

　　幸運(yùn)的是有備份

　　埃森哲證實(shí)：“是的，我們被攻擊了，但現(xiàn)在問(wèn)題不大。通過(guò)我們的安全控制和協(xié)議，我們?cè)谖覀兊囊粋€(gè)環(huán)境中發(fā)現(xiàn)了不正常活動(dòng)。我們立即控制了此事件并隔離了受影響的服務(wù)器?！薄巴瑫r(shí)我們從備份中完全恢復(fù)了受影響的系統(tǒng)，對(duì)埃森哲的運(yùn)營(yíng)或我們客戶的系統(tǒng)不會(huì)有任何影響?！?/p>

　　據(jù)BleepingComputer稱，威脅要發(fā)布埃森哲數(shù)據(jù)（據(jù)稱在最近的一次網(wǎng)絡(luò)攻擊中被盜）的組織被稱為L(zhǎng)ockBit 2.0。

　　正如Cybereason的Tony Bradley在周三的帖子中所解釋的那樣，LockBit團(tuán)伙類(lèi)似于它的勒索軟件即服務(wù)（RaaS）兄弟公司DarkSide和REvil。LockBit使用附屬模式出租其勒索軟件平臺(tái)，從由此產(chǎn)生的任何贖金中抽取一部分。

　　布拉德利指出，在DarkSide和REvil兩家公司關(guān)閉運(yùn)營(yíng)后，LockBit團(tuán)伙顯然正在瘋狂招聘。

　　本周早些時(shí)候，澳大利亞政府警告LockBit 2.0勒索軟件攻擊升級(jí)，此前有人看到該團(tuán)伙大肆搜羅他們計(jì)劃攻擊的那些公司的內(nèi)部人員，以數(shù)百萬(wàn)美元作為獎(jiǎng)勵(lì)。

　　內(nèi)部人員？

　　Cyble研究人員在推文中表示，這可能是內(nèi)部人員所導(dǎo)致的?！拔覀冎?LockBit #threatactor一直在雇用企業(yè)員工以來(lái)訪問(wèn)他們目標(biāo)公司的網(wǎng)絡(luò)，”該公司在推特上寫(xiě)道，同時(shí)還附有一個(gè)時(shí)鐘，它在計(jì)時(shí)埃森哲還剩多少時(shí)間來(lái)支付贖金。

　　潛在的內(nèi)部威脅？我們知道#LockBit #threatactor一直在雇傭企業(yè)員工來(lái)訪問(wèn)他們目標(biāo)公司的網(wǎng)絡(luò)。#ransomware #cyber #cybersecurity #infosec <accenture pic.twitter.com/ZierqRVIjj

　　— Cyble（@AuCyble）2021年8月11日

　　在Cyble研究團(tuán)隊(duì)看到的對(duì)話中，LockBit勒索軟件團(tuán)伙聲稱已從埃森哲竊取了6TB的數(shù)據(jù)，要求其支付5000萬(wàn)美元（約3.2億人民幣）的贖金。這伙威脅分子稱已通過(guò)公司“內(nèi)部人員”訪問(wèn)了埃森哲的網(wǎng)絡(luò)，并且這些內(nèi)部人員“仍在那里工作”，盡管Cyble稱這“不太可能”。

　　熟悉此次攻擊的消息人士告訴 BleepingComputer，埃森哲向至少一家計(jì)算機(jī)電話集成（CTI）供應(yīng)商證實(shí)遭到了勒索軟件攻擊，并且正在通知更多客戶。根據(jù)威脅情報(bào)公司Hudson Rock的一條推文，埃森哲有2500臺(tái)屬于員工和合作伙伴的計(jì)算機(jī)已中招，埃森哲也確實(shí)在暗示“這些信息肯定被威脅行為者使用了”。

　　在上周發(fā)布的安全警報(bào)中，澳大利亞網(wǎng)絡(luò)安全中心（ACSC）警告稱，針對(duì)澳大利亞組織的LockBit 2.0勒索軟件攻擊從上個(gè)月開(kāi)始上升。

　　警報(bào)稱：“此活動(dòng)發(fā)生在多個(gè)行業(yè)領(lǐng)域。”“受害者收到了支付贖金的要求。除了數(shù)據(jù)加密之外，受害者還收到了將公布事件期間被盜數(shù)據(jù)的威脅?！?/p>

　　ACSC指出（PDF），最近觀察到LockBit威脅參與者積極利用Fortinet FortiOS和FortiProxy產(chǎn)品中的現(xiàn)有漏洞（CVE-2018-13379），以獲得對(duì)特定受害者網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限。該漏洞是SSL VPN中的一個(gè)路徑遍歷缺陷，多年來(lái)已被多次攻擊利用：

　　4月，聯(lián)邦調(diào)查局和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）警告說(shuō)，APT民族國(guó)家行為者正在積極利用它在網(wǎng)絡(luò)中站穩(wěn)腳跟，然后再進(jìn)行橫向移動(dòng)和偵察等。

　　已知漏洞被利用？

　　第三方風(fēng)險(xiǎn)管理公司Shared Assessments的副總裁Ron Bradley周三向Threatpost表示，埃森哲事件是關(guān)于“業(yè)務(wù)彈性和業(yè)務(wù)連續(xù)性之間差異的一個(gè)典型例子。業(yè)務(wù)彈性就像在拳擊比賽中，您受到了身體的打擊，但可以繼續(xù)戰(zhàn)斗。業(yè)務(wù)連續(xù)性則是在運(yùn)營(yíng)停止或嚴(yán)重受損并且您必須付出巨大努力才能恢復(fù)時(shí)發(fā)揮作用。

　　布拉德利繼續(xù)說(shuō)道：”埃森哲的這個(gè)特殊例子很有趣，因?yàn)樗且粋€(gè)已知/公開(kāi)的漏洞。“”它強(qiáng)調(diào)了確保及時(shí)正確修補(bǔ)系統(tǒng)的重要性。埃森哲有能力管理可能被盜數(shù)據(jù)的影響，這將是許多企業(yè)未來(lái)的重要一課?！?/p>

　　網(wǎng)絡(luò)安全公司Vectra的總裁兼首席執(zhí)行官Hitesh Sheth表示，所有企業(yè)都應(yīng)該預(yù)料到這樣的攻擊，尤其是一家與這么多公司有聯(lián)系的全球咨詢公司。

　　”最初的報(bào)告表明，埃森哲制定了數(shù)據(jù)備份協(xié)議，并迅速采取行動(dòng)隔離受影響的服務(wù)器?！啊爆F(xiàn)在讓第三方觀察者評(píng)估損失還為時(shí)過(guò)早。然而，這又一次提醒企業(yè)檢查其供應(yīng)商、合作伙伴和提供商的安全標(biāo)準(zhǔn)。每個(gè)企業(yè)都應(yīng)該預(yù)料到這樣的攻擊——也許尤其是一家與許多其他公司有聯(lián)系的全球咨詢公司。重要的是您如何預(yù)測(cè)、計(jì)劃和從攻擊中恢復(fù)?！?/p>