🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

勒索攻击溯源报告:一个帐号被盗,一个城市政务服务停摆

安全内参编译 安全内参
2024-08-29

关注我们

带你读懂网络安全


一颗马蹄钉毁掉了一场战争,一个帐号陷落了一个智慧城市。


前情回顾·我怎么被黑的?
安全内参9月25日消息,美国德克萨斯州达拉斯市表示,今年5月该市因Royal勒索软件攻击被迫关闭所有IT系统,此次攻击始于一个被盗帐户。在上周发布的《达拉斯市勒索软件事件:2023年5月事件的补救措施和解决方案》事件溯源分析总结报告中,达拉斯市对这起事件进行了完整回顾。4月初,Royal团伙使用被盗的域服务帐户获得该市网络的访问权限,并在4月7日至5月4日期间持续访被破解系统。市政府和外部网络安全专家通过分析系统日志数据得出结论,在此期间,攻击者成功收集并外泄了1.169 TB文件。Royal团伙还在达拉斯市政府系统上部署了Cobalt Strike命令与控制信标(C2 Beacon),为部署勒索软件做准备。5月3日凌晨2点,Royal团伙开始部署勒索软件,使用合法的微软管理工具对服务器进行加密。检测到攻击后,达拉斯市启用缓解措施,将高优先级的服务器脱机以阻止Royal团伙的攻击行动。与此同时,该市在内外部网络安全专家团队的帮助下开始服务恢复工作。所有服务器的恢复过程持续了5周多。5月9日,财务服务器重新投用。6月13日,最后一台受到攻击影响的服务器“废物管理服务器”恢复正常。达拉斯市表示:“本市向德克萨斯州总检察长报告,由于此次攻击,26212名德州居民和共计30253名个人的私人信息或被曝光。”“总检察长网站显示,Royal团伙曝露了个人信息,如姓名、地址、社会保障信息、健康信息、健康保险信息等内容。”到目前为止,达拉斯市议会已经为勒索软件攻击的恢复工作划拨850万美元预算,最终费用将在事后公布。达拉斯是美国第四大都会区、第九大城市,总人口约260万。


打印机自动打印出勒索通知


最初,当地媒体报道,达拉斯市疑似遭到勒索软件攻击,于5月3日星期一早上关闭了警察通信和信息技术系统。达拉斯市在5月3日发表的一份声明中解释说,“周三早上,本市安全监控工具通知了我们的安全运营中心(SOC),我们的环境中可能遭受了勒索软件攻击。随后,本市确认一些服务器已经受到勒索软件攻击,达拉斯警察局网站等多个功能区域受到影响。”“市政府团队与供应商一起积极工作,努力隔离勒索软件,防止其进一步传播,并从被感染服务器中删除勒索软件,让当前受到影响的所有服务恢复正常。根据本市事件响应计划,市长和市议会收到了事件通知。”达拉斯市的网络打印机在事件当天早上开始打印勒索通知。BleepingComputer获得了一张通知图片,得以确认Royal勒索软件团伙是这次攻击的幕后黑手。通过市政府网络打印机“推送”的勒索通知Royal勒索软件团伙被认为是Conti犯罪团伙的一个分支,在Conti停止运营后崭露头角。Royal团伙于2022年1月出山。为了避免引起注意,他们最早使用其他勒索软件团伙的加密工具,比如ALPHV/BlackCat。不久之后,他们一整年都在用自己的加密工具Zeon发动攻击。在2022年底,这个勒索软件团伙重新包装,选用了“Royal”这个名字,逐渐成为针对企业最活跃的勒索软件团伙之一。Royal团伙惯于利用公开可访问设备中的安全漏洞侵入目标网络。他们也经常采用回电联络型钓鱼攻击获得企业网络的初始访问权限。攻击目标会收到一封电子邮件,其中嵌入了伪装成订阅续订的电话号码。只要目标呼叫电话号码,攻击者就会使用社交工程学手段欺骗受害者安装远程访问软件,向威胁行为者提供其网络的访问权限。


参考资料:bleepingcomputer.com


推荐阅读




点击下方卡片关注我们,
带你一起读懂网络安全 ↓


继续滑动看下一个
安全内参
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存