行业新闻

武汉安鸾学院 > 行业新闻 > 新闻资讯 > Lockbit 泄露经销商巨头 CDW 内部数据,获得 100 万美元

Lockbit 泄露经销商巨头 CDW 内部数据,获得 100 万美元

  • 2023年10月18日
  • 作者: 安鸾网络
  • 分类目录 新闻资讯
没有评论

Lockbit 在接受 The Register 采访时表示,一家价值 200 亿美元的纳斯达克上市企业仅支付 100 万美元赎金,对他们来说具有侮辱性,并称如果对方不继续支付足额赎金,将在倒计时期限结束后公布所窃取的数据,且不再进行任何谈判。

该网络犯罪团伙的一名发言人表示,全球最大的经销商之一CDW将在赎金谈判破裂后将其数据泄露给洛克比。

这位使用洛克比苏普(LockBitSupp)化名的发言人在接受“登记册”采访时暗示,在谈判期间,CDW提供的金额如此之低,以至于侮辱了这些骗子。

这位消息人士说:“我们公布这些报告是因为在谈判过程中,一家价值200亿美元的公司拒绝支付足够的资金。”

“一旦计时器用完,您将能够看到所有的信息,谈判已经结束,不再进行中。我们拒绝了这个荒谬的数目。”

LockBit没有回应有关其最初的赎金要求或CDW在谈判中提出的条件的问题。它还回避了有关被窃取数据的性质以及它使用什么方法入侵公司的问题。

根据LockBit受害者博客上的倒计时器显示,CDW的文件计划于10月11日凌晨公布。

CDW尚未对这一事件发表评论,这一事件似乎至少从9月3日开始就一直在进行,当时该公司首次发布在LockBit的博客上。

登记册已与CDW联系,要求澄清,但该公司尚未作出答复。

它的自动邮件回复是这样的:“感谢您联系CDW。您的询问已经收到,并将予以审核。如果有合适或有兴趣进一步参与,我们将尽快与您联系。”

英国信息专员办公室(ICO)证实,它没有收到来自CDW的违规报告。

网络安全分析师和研究员Dominic Alvieri说,从技术上讲,LockBit的博客总共发布了三次该公司的信息。它最初是“闪发”——一种策略,涉及快速发布和删除一个公司,以鼓励受害者快速回应。

他说:“当最后期限到来时,这是公司正在谈判或至少已经承认了这一事件的一个迹象。”

“转贴通常是最后的阶段。赎金过程可能需要数周/数月。”

专家告诉The Register,将一家公司多次发布到受害者博客上并不是每一种情况都会发生,但这是勒索软件集团为加快谈判而采取的一种已知的性策略。

ESET全球网络安全顾问杰克·摩尔(Jake Moore)表示:“勒索软件组织正在加紧他们的战术,迫使受害者迅速付款,这是他们及时向目标勒索更多金钱的商业模式的一部分。”

“LockBit此前曾使用施压手段,迫使其他受害者的攻击,以加快赎金谈判,最终支付,并取得了不同的成功。

“然而,总是有这样一种机会,即这是一种迫使受害者迅速采取行动的战术,但在最初的主张中却没有真正的实质内容。

“这是网络犯罪分子和他们的受害者之间常见的赌博,一个错误的举动和一张扑克脸可能会让公司付出巨额赎金,并在公众视野中泄露数据,从而带来更多问题。”

LockBit设置最后期限而不转储被盗数据的一个历史性例子是在今年早些时候对皇家国际邮政的攻击期间。

截止日期定为2月13日,没有公布任何数据。一天后,LockBit没有将皇家邮政国际公司被盗的数据公之于众,而是以可下载的聊天记录的形式公布了它与该公司之间的全部谈判历史。

聊天日志显示,索要赎金最初设定在8,000万美元,后来在该公司将这些要求称为“荒谬”后,提供了50%的折扣。

当时,聊天记录的公布被视为这些恐吓战术的一个例子。在皇家邮政继续拒绝付款后,LockBit最终将其数据(其中大部分包括员工信息)分10次公开。

英国国家网络安全中心(NCSC)长期以来一直反对向网络罪犯支付赎金。

安全公司CyberEdge的一项研究发现,支付赎金的企业中,只有不到一半的企业恢复了所有数据。

在与皇家邮政的谈判中,文字记录显示,谈判者试图说服LockBit交出两个文件,作为罪犯的解密器工作的证据。

LockBit在几天后意识到,这两个文件将允许皇家邮政完全恢复其系统,而无需支付解密器。

在谈判接近尾声时,皇家邮政似乎在尽可能拖延LockBit,称其正在等待董事会决定是否支付折扣后的赎金费用,LockBit对这种策略感到沮丧,并在几天后公布了皇家邮政没有回应的数据。

LockBit的谎言和其他奇怪的策略

多年来,LockBit一直被指控策划各种“公关噱头”,以引起混乱并提高其恶名水平。

其中包括对大型组织的“假”勒索软件攻击,将其详细信息发布到LockBit的网站上,以及一个倒数计时器,以指示被盗文件的发布日期,就像真正的受害者一样。

其中一个例子发生在 2022 年 6 月,当时它声称违反了事件响应专家 Mandiant。以典型的方式,倒数计时器花了几天时间达到零,发布的不是它声称从公司窃取的数据,而是对该组织与受制裁的网络犯罪组织Evil Corp有关的说法的回应。

“公关噱头可能是由LockBit精心策划的,因为他们的活动与Evil Corp的联系可能会对他们的运营产生财务上的破坏性后果,”ReliaQuest在一篇博客文章中说。

“在大多数国家/地区,向这些网络威胁组织支付赎金仍然不违法;然而,与Evil Corp的正式联系将使这些付款可能超出法律范围,对参与其中的组织产生重大的民事和刑事影响。

“鉴于 LockBit 是目前活动中最多产的勒索软件组织之一,他们很可能打算在接下来的几个月里继续其非常成功和有利可图的勒索软件业务。”

那年晚些时候,LockBit重复了同样的伎俩,这次是针对法国跨国IT公司泰雷兹。虽然在泰雷兹的案例中,它只是半个谎言。

当时,泰雷兹的公开声明一再否认 IT 入侵的证据,但在 2022 年 11 月 10 日——LockBit 承诺公布其数据三天后——泰雷兹证实数据被盗并发布。

但是,它表示盗窃是由“两个可能的来源”进行的,其中一个是“通过专用协作门户上的合作伙伴用户帐户确认的”。