Pitney Bowes一年内第二赎金软件攻击袭击
网络犯罪集团背后越来越危险的迷宫赎金软件应变声称它已成功加密系统在邮寄和运输服务公司Pitney Bowes中,不到一年后被类似的攻击击中。
迷宫背后的小组,它专门从事双重敲诈,这种攻击类型,通过威胁到加密系统除了威胁到重要数据外,还有增加压力的攻击,确认了对其网站发布的发布中对Pitney Bowes的攻击。
Pitney Bowes Spokesperson说:“最近,我们检测到与迷宫勒索软件相关的安全事件。我们正在调查攻击的范围,特别是已访问的数据类型,这似乎有限。
“与我们的第三方安全顾问合作,我们立即采取了关键步骤来挫败数据可以加密之前的攻击。此时,没有证据表明进一步未经授权访问我们的IT系统。调查仍然在进行中。“
迷宫发布的屏幕截图表明,该集团在一系列Pitney Bowes客户中偷了数据,包括主要的保险公司和零售商,以及与公司内部流程有关的信息和数据,如管理和培训政策。
2019年10月对PITNEY BOWES的攻击加密了有关系统的信息,并将客户锁定了其SendPro产品,邮资补充和账户访问,但该公司表示不妥协客户或员工数据。
以前的攻击被理解为涉及Ryuk赎金软件,这些软件被怀疑由俄罗斯群体运营,并不知道Pitney Bowes是否在这种场合支付了赎金。
但根据威胁研究人员,可能有可能在依靠不同形式的赎金软件的攻击,尽管这绝不会被证明。
根据微软威胁英特尔团队的研究宣布,许多赎金软件攻击者“故意保持在某些端点的存在,打算在支付赎金或系统重建后重新加强恶意活动”。
这可能是一个进一步的线索,即网络犯罪分子可能已经获得了Pitney Bowes的特权证书,并且在使用迷宫后将它们卖给了一组,或者在获得迷宫自身之后重复使用它们。根据Fireeye Mandiant威胁研究人员,迷宫似乎经营了一份会员模型,与其他威胁演员合作,然后在账单支付赎金时削减委员会。
微软表示,迷宫最通常通过电子邮件提供,但其中一些运算符使用RDP(远程桌面协议)蛮力攻击将其部署到受害网络,通常使用未改变的本地管理员密码。完成此操作,然后他们窃取凭据并通过网络横向移动到exfiltrate数据。
该公司的研究人员表示,使用Brute强制密码,广泛的运营商能够横向移动,因为其他端点上的内置管理员帐户使用相同的密码表示。
“通过凭据盗窃对域管理员帐户进行控制后,广告系列运算符使用Cobalt Strike,PSExec和所有其他工具来部署各种有效载荷和访问数据,”微软的研究人员写道。
“他们使用推出基于PowerShell的遥控壳的预定任务和服务建立了无线持久性。他们还使用Stolen Domain Admin权限打开Windows远程管理,以便持久控制。为了削弱安全控制,以准备勒索软件部署,他们通过组策略操纵各种设置。“