Cyber Bangsters在“SodInokibi”攻击汽车零部队集团Gedia攻击后发布员工密码
在上周关于该公司总部的主要网络攻击之后,网络罪犯威胁到德国汽车集团Gedia的客户和员工的银行账户。
Gedia Automotive Group总部位于与会者,已被迫关闭其IT系统,并在1月21日的网络攻击后从其总部送回30多名员工。
Cyber Carmun Group,SodInokibi,利用勒索沃金将公司勒索赎金恢复数据,声称袭击责任。
通过在互联网上从一个Gedia员工扣除的机密数据缓存,犯罪分子对公司进行了压力。
这些数据包括GEDIA工作人员的密码,包括首席执行官Schaumburg,公司数据中心的计划,计算机网络图和公司文件备份系统的详细信息。
根据当地新闻报道,Gedia在Hagen的警察提出了刑事诉讼。警方告诉Lokalplus他们试图评估这种情况。
Gedia于1月23日发表了一份关于其网站的陈述,称,整个集团的袭击“远远达到后果” - 这在西班牙,波兰,匈牙利和美国的运营。它已经删除了该声明。
GEDIA在其网站上表示,它的系统完全运行之前需要数周或几个月SodInokibi在两个地下俄语的帖子中声称,在黑暗的网络上,它有50GB的敏感数据,包括蓝图和员工和客户的细节,并将发布它们,除非公司支付。
本集团发布了一份攻击文件的缓存,并申请了CEO Markus Schaumburg的评论。
本集团,张贴在名称“unckn”或“未知”下,威胁要开始利用其声称扣除公司的财务数据。
“回答Schaumurg先生的评论,我们附上员工菲利普的档案。该档案包含有关内部基础架构,备份计划,网络和Royalts软件的完整信息,“该集团表示。
“作为奖金,我们附上域控制器的未加密转储。另一个评论如此 - 我们将开始使用公司的财务数据,您的客户和员工。当然,我们会通知他们为什么金钱从他们的账户中消失。你有7天。我们下次更强硬。“
威尔·斯科夫·沃洛夫斯科斯队(Darknet威胁情报)研究负责人Irina Nestrovosky表示,威胁由SodInikobi Ransomware背后的犯罪集团造成了令人不安的变化。
直到今年年初,苏丹基比集团要求赎金解密公司计算机系统,但出版被盗数据是一种新的趋势,她说。
“未知”在本月对TravelExand美国IT服务公司Artech Information Systems进行赎金软件攻击之后的类似威胁。
互联网上集团发布的GEDIA数据的缓存包括员工用户名和密码的详细信息,其中许多似乎很容易猜到,包括Hallo1234512,QWertzui2! - 由德国Qwertz键盘上的相邻字母组成 - 和iChincool4。
其他文件提供GEDIA的备份系统,存储阵列,Cisco路由器和建筑物的物理计划,标记服务器位置的建筑物。
攻击者发布了一个包含GEDIA的Microsoft Active Directory的扫描的文件,其中包含敏感的用户名和密码的详细信息,作为他们渗透到公司网络的证据。
它揭示了黑客使用的安全工具,被称为AdRecon,被澳大利亚安全公司的安全宣传,也用于以前的SodInokibi攻击,从Gedia提取数据。
该公司没有每周从计算机返回电话,但它在其网站上删除了其网站的陈述,它已经提出了紧急计划,以确保持续的生产,供应和交付客户订单。
“关键系统正在运行。声明说,外部安全专家支持损害的分析和修复。
通过各种技术,包括网络钓鱼攻击,VPN服务和微软远程桌面协议的网络钓鱼攻击,包括网络钓鱼攻击,旨在允许技术人员远程访问计算机的漏洞,包括网络钓鱼攻击。
美国安全公司的糟糕数据包的研究表明,GEDIA有一个脉冲安全VPN服务器,缺乏关键安全更新,直到至少在2020年1月10日。服务器现在离线,其首席研究官Troy Mursch,每周告诉计算机。
英国国家网络安全中心和美国国家安全局(NSA)发出警报警告,即网络罪犯在去年10月通过脉冲安全和其他VPN的漏洞渗透全球组织。
美国网络安全和基础设施安全局(CISA)在今年1月10日在2020年代开始的赎金软件攻击激增之后发布了关于脉冲安全VPN的漏洞漏洞的进一步警告。
“虽然脉搏安全披露了2019年4月的各种受影响产品的漏洞,并且为各种影响产品提供了软件补丁,但网络安全和基础设施安全机构继续观察广泛的剥削,”它说。
其他网络安全研究人员建议黑客可能会在公司的Citrix服务器中发出漏洞,在俄罗斯攻击对吉迪亚袭击时袭击俄罗斯黑客论坛上的黑客销售Citrix Logins之后。
安全研究员“在违规之下”在Twitter上说,攻击者使用Citrix Exploit有“高概率”。
马特福勒的额外研究