埃森哲發(fā)送了一份內(nèi)部備忘錄，確認攻擊者在7月30日的“事件”中竊取了客戶信息和工作材料。

　　CyberScoop報告稱，該備忘錄淡化了勒索軟件攻擊的影響。該媒體引用了埃森哲的內(nèi)部備忘錄：“雖然肇事者能夠獲得某些涉及少數(shù)客戶的文件和我們?yōu)榭蛻魷蕚涞哪承┕ぷ鞑牧希@些信息都不是高度敏感的。”Threatpost已致電希望埃森哲對CyberScoop的報告發(fā)表評論。

　　本周早些時候，LockBit勒索軟件即服務(wù)（RaaS）團伙公布了埃森哲（Accenture）的名字和標識，該公司現(xiàn)已被證實是最新的受害者之一。埃森哲是一家全球商業(yè)咨詢公司，掌握著一些世界上最大、最有影響力的公司的內(nèi)部信息。

　　埃森哲的客戶包括《財富》中91家全球100強企業(yè)和超過四分之三的全球500強企業(yè)。根據(jù)其2020年年度報告，其中包括電子商務(wù)巨頭阿里巴巴、思科和谷歌。埃森哲市值約443億美元，是全球最大的科技咨詢公司之一，在50個國家/地區(qū)擁有約569,000名員工。

　　在一篇發(fā)布在暗網(wǎng)的帖子中，LockBit上傳了埃森哲數(shù)據(jù)庫以供出售，同時還對埃森哲岌岌可危的安全進行了必要的抨擊。

　　“這些人無視了了隱私和安全。我真的希望他們的服務(wù)比我這個內(nèi)部人員看到的要做得更好。如果您有興趣購買這些數(shù)據(jù)庫，請聯(lián)系我們?！?/p>

　　—LockBit 網(wǎng)站帖子。

　　據(jù)安全事務(wù)部稱，在支付贖金的時限結(jié)束的時候，泄漏站點顯示了一個名為W1的文件夾，其中包含據(jù)稱從公司竊取的PDF文檔集合。LockBit運營商聲稱已獲得埃森哲網(wǎng)絡(luò)的訪問權(quán)限，并準備在格林威治標準時間17:30:00泄露從埃森哲服務(wù)器上竊取的文件。

　　在美國東部時間周三上午晚些時候，這一消息成為頭條新聞，此前CNBC記者Eamon Javers在推特上發(fā)布了關(guān)于該團伙聲稱將在未來幾個小時內(nèi)發(fā)布數(shù)據(jù)并愿意向感興趣的各方出售埃森哲內(nèi)部信息的消息。

　　CNBC獲悉，一個使用Lockbit Ransomware的黑客組織表示，他們已經(jīng)入侵了咨詢公司埃森哲，并將在幾個小時內(nèi)發(fā)布數(shù)據(jù)。他們還提出向感興趣的各方出售埃森哲內(nèi)部信息。

　　幸運的是有備份

　　埃森哲證實：“是的，我們被攻擊了，但現(xiàn)在問題不大。通過我們的安全控制和協(xié)議，我們在我們的一個環(huán)境中發(fā)現(xiàn)了不正常活動。我們立即控制了此事件并隔離了受影響的服務(wù)器?！薄巴瑫r我們從備份中完全恢復了受影響的系統(tǒng)，對埃森哲的運營或我們客戶的系統(tǒng)不會有任何影響?！?/p>

　　據(jù)BleepingComputer稱，威脅要發(fā)布埃森哲數(shù)據(jù)（據(jù)稱在最近的一次網(wǎng)絡(luò)攻擊中被盜）的組織被稱為LockBit 2.0。

　　正如Cybereason的Tony Bradley在周三的帖子中所解釋的那樣，LockBit團伙類似于它的勒索軟件即服務(wù)（RaaS）兄弟公司DarkSide和REvil。LockBit使用附屬模式出租其勒索軟件平臺，從由此產(chǎn)生的任何贖金中抽取一部分。

　　布拉德利指出，在DarkSide和REvil兩家公司關(guān)閉運營后，LockBit團伙顯然正在瘋狂招聘。

　　本周早些時候，澳大利亞政府警告LockBit 2.0勒索軟件攻擊升級，此前有人看到該團伙大肆搜羅他們計劃攻擊的那些公司的內(nèi)部人員，以數(shù)百萬美元作為獎勵。

　　內(nèi)部人員？

　　Cyble研究人員在推文中表示，這可能是內(nèi)部人員所導致的。“我們知道#LockBit #threatactor一直在雇用企業(yè)員工以來訪問他們目標公司的網(wǎng)絡(luò)，”該公司在推特上寫道，同時還附有一個時鐘，它在計時埃森哲還剩多少時間來支付贖金。

　　潛在的內(nèi)部威脅？我們知道#LockBit #threatactor一直在雇傭企業(yè)員工來訪問他們目標公司的網(wǎng)絡(luò)。#ransomware #cyber #cybersecurity #infosec <accenture pic.twitter.com/ZierqRVIjj

　　— Cyble（@AuCyble）2021年8月11日

　　在Cyble研究團隊看到的對話中，LockBit勒索軟件團伙聲稱已從埃森哲竊取了6TB的數(shù)據(jù)，要求其支付5000萬美元（約3.2億人民幣）的贖金。這伙威脅分子稱已通過公司“內(nèi)部人員”訪問了埃森哲的網(wǎng)絡(luò)，并且這些內(nèi)部人員“仍在那里工作”，盡管Cyble稱這“不太可能”。

　　熟悉此次攻擊的消息人士告訴 BleepingComputer，埃森哲向至少一家計算機電話集成（CTI）供應(yīng)商證實遭到了勒索軟件攻擊，并且正在通知更多客戶。根據(jù)威脅情報公司Hudson Rock的一條推文，埃森哲有2500臺屬于員工和合作伙伴的計算機已中招，埃森哲也確實在暗示“這些信息肯定被威脅行為者使用了”。

　　在上周發(fā)布的安全警報中，澳大利亞網(wǎng)絡(luò)安全中心（ACSC）警告稱，針對澳大利亞組織的LockBit 2.0勒索軟件攻擊從上個月開始上升。

　　警報稱：“此活動發(fā)生在多個行業(yè)領(lǐng)域。”“受害者收到了支付贖金的要求。除了數(shù)據(jù)加密之外，受害者還收到了將公布事件期間被盜數(shù)據(jù)的威脅。”

　　ACSC指出（PDF），最近觀察到LockBit威脅參與者積極利用Fortinet FortiOS和FortiProxy產(chǎn)品中的現(xiàn)有漏洞（CVE-2018-13379），以獲得對特定受害者網(wǎng)絡(luò)的初始訪問權(quán)限。該漏洞是SSL VPN中的一個路徑遍歷缺陷，多年來已被多次攻擊利用：

　　4月，聯(lián)邦調(diào)查局和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）警告說，APT民族國家行為者正在積極利用它在網(wǎng)絡(luò)中站穩(wěn)腳跟，然后再進行橫向移動和偵察等。

　　已知漏洞被利用？

　　第三方風險管理公司Shared Assessments的副總裁Ron Bradley周三向Threatpost表示，埃森哲事件是關(guān)于“業(yè)務(wù)彈性和業(yè)務(wù)連續(xù)性之間差異的一個典型例子。業(yè)務(wù)彈性就像在拳擊比賽中，您受到了身體的打擊，但可以繼續(xù)戰(zhàn)斗。業(yè)務(wù)連續(xù)性則是在運營停止或嚴重受損并且您必須付出巨大努力才能恢復時發(fā)揮作用。

　　布拉德利繼續(xù)說道：”埃森哲的這個特殊例子很有趣，因為它是一個已知/公開的漏洞。“”它強調(diào)了確保及時正確修補系統(tǒng)的重要性。埃森哲有能力管理可能被盜數(shù)據(jù)的影響，這將是許多企業(yè)未來的重要一課?！?/p>

　　網(wǎng)絡(luò)安全公司Vectra的總裁兼首席執(zhí)行官Hitesh Sheth表示，所有企業(yè)都應(yīng)該預料到這樣的攻擊，尤其是一家與這么多公司有聯(lián)系的全球咨詢公司。

　　”最初的報告表明，埃森哲制定了數(shù)據(jù)備份協(xié)議，并迅速采取行動隔離受影響的服務(wù)器?！啊爆F(xiàn)在讓第三方觀察者評估損失還為時過早。然而，這又一次提醒企業(yè)檢查其供應(yīng)商、合作伙伴和提供商的安全標準。每個企業(yè)都應(yīng)該預料到這樣的攻擊——也許尤其是一家與許多其他公司有聯(lián)系的全球咨詢公司。重要的是您如何預測、計劃和從攻擊中恢復。“