发生在周末的网络攻击
根据美国网络安全事件报告的FORM 8-K文件,江森自控已向监管机构正式报告了网络安全事件。
26日,一位消息人士告诉 BleepingComputer,江森自控在其亚洲办事处最初遭到勒索软件攻击后遭受了勒索软件攻击。
BleepingComputer 随后获悉该公司在周末遭受了网络攻击,导致该公司关闭了部分 IT 系统。
从那时起,其许多子公司,包括 York、Simplex和Ruskin,都开始在网站登录页面和客户门户上显示技术中断消息。
Simplex网站上的一条消息写道:“我们目前正经历 IT 中断,这可能会限制某些客户应用程序,例如 Simplex 客户门户。”
“我们正在积极减轻对我们服务的任何潜在影响,并将在解决这些中断问题后与客户保持沟通。”
网站上的江森自控技术中断消息(来源:BleepingComputer)
江森自控另一家子公司约克的客户报告称,他们被告知该公司的系统已瘫痪,其中一些人表示,这是由于网络攻击造成的。
一位约克客户在 Reddit 上发帖称:“他们的计算机系统在周末崩溃了。制造业和一切都瘫痪了。 ”
另一位顾客发帖称:“我和我们的代表谈过,他说有人黑了他们。”
27日天早上,Nextron Systems威胁研究员Gameel Ali 在推特上发布了Dark Angels VMware ESXi加密器的样本,其中包含勒索字条,声称该样本是用来针对Johnson Controls的。
黑暗天使赎金字条(来源:BleepingComputer)
BleepingComputer获悉,勒索信息链接到一次谈判聊天记录,勒索软件团伙要求 5100万美元来提供解密器并删除被盗数据。
威胁行为者还声称在攻击期间窃取了超过27 TB的公司数据并加密了公司的 VMWare ESXi虚拟机。
BleepingComputer已联系江森自控询问有关此次攻击的问题,但尚未收到回复。
这并不是江森自控第一次遭遇勒索软件攻击。2017年,该公司位于华盛顿特区的监控摄像头(构成公共场所闭路电视系统的一部分)成为勒索软件的受害者。另一起事件发生在2019年,当时江森自控因利用Microsoft SMB协议中的漏洞的勒索软件攻击而发布了产品安全公告,可能会影响某些Metasys安装。针对这些事件,江森自控甚至发布了一份白皮书,重点关注降低智能建筑中的勒索软件风险。
“黑暗天使”(Dark Angels)勒索软件团伙是谁?Dark Angels是一种勒索软件运营组织,于2022年5月启动,当时它开始针对全球组织。
与几乎所有人为操作的勒索软件团伙一样,“黑暗天使”破坏了企业网络,然后通过网络横向传播。在此期间,威胁行为者从文件服务器窃取数据以用于双重勒索攻击。
当威胁行为者获得对Windows域控制器的访问权限时,他们会部署勒索软件来加密网络上的所有设备。
根据Babuk勒索软件源代码泄露,威胁行为者最初使用Windows和VMware ESXi 加密器 。
然而,网络安全研究人员MalwareHunterTeam告诉BleepingComputer,Johnson Controls攻击中使用的Linux加密器与Ragnar Locker自2021年以来使用的加密器相同。
Dark Angels于2023 年4月推出了一个名为“Dunghill Leaks”的数据泄露网站,用于勒索受害者,威胁称如果不支付赎金,就会泄露数据。
“Dunghill”Leaks 数据泄露网站(来源:BleepingComputer)
该勒索网站目前列出了9名受害者,其中包括最近披露了网络攻击的Sabre和Sysco。
今年以来,已先后有施耐德电气、西门子能源、ABB、Honeywell等国际自动化巨头遭遇勒索软件攻击,这次是江森自控。工业自动化厂商被攻击的“余音”很可能绕梁而数月不绝。ABB被勒索后采取了花钱消灾的办法,本次5100万美元的赎金,看江森如何 应对?
参考资源
1、https://www.bleepingcomputer.com/news/security/building-automation-giant-johnson-controls-hit-by-ransomware-attack/
2、https://www.reddit.com/r/HVAC/comments/16t2876/anyone_know_about_johnson_controls/
3、https://seekingalpha.com/filing/7894954?hasComeFromMpArticle=false
4、https://beststocks.com/ransomware-attack-on-johnson-controls-interna/
