近日,江森自控国际公司遭到了一起大规模勒索软件攻击,这起攻击加密了该公司的许多设备(包括 VMware ESXi 服务器),影响了该公司及其子公司的运营。

江森自控是一家开发和制造工业控制系统、安全设备、空调装置和消防安全设备的跨国企业集团。

该公司通过总部和旗下子公司雇有100000名员工,包括 York、Tyco、Luxaire、 Coleman、Ruskin、Grinnel 和 Simplex。

昨天一位消息人士告诉 IT 安全外媒 BleepingComputer,江森自控遭到了勒索软件攻击,其亚洲办事处最先遭遇安全事件。

BleepingComputer 后来获悉,该公司在周末遭到了网络攻击,导致该公司关闭了部分 IT 系统。

从那时起,包括 York、Simplex 和 Ruskin 在内的许多子公司开始在网站登录页面和客户门户网站上显示技术故障信息。

Simplex 网站上的一条消息写道:“我们目前遇到了 IT 故障,这可能会限制一些客户应用程序,比如 Simplex 客户门户网站。我们正在积极减轻对我们服务造成的任何潜在影响,会在解决这些故障的过程中继续与客户保持沟通。”

York 网站上的江森自控技术故障信息:

江森自控另一家子公司 York 的客户反映,他们被告知该公司的系统宕机了;一些客户表示,他们被告知这归因于网络攻击

York 的客户在 Reddit 上发帖称:“他们的计算机系统在周末崩溃了。制造及所有系统都宕机了。”

另一个客户发帖称:“我和我们的代表谈过了,对方称遭到了黑客攻击。”

今天早上,Nextron Systems 的威胁研究人员 Gameel Ali 在推特上发布了 Dark Angels VMware ESXi 加密器的样本,其中含有一封勒索信,称该加密器被用来攻击江森自控。

Dark Angels勒索信:

勒索信链接到谈判聊天内容,勒索软件团伙索要 5100 万美元,才肯提供解密器和删除被盗数据。

这个团伙还声称窃取了超过 27 TB 的企业数据,并在攻击期间加密了该公司的VMWare ESXi 虚拟机。

本文刊发后,江森自控在向证券交易委员会( SEC )提交的 8-K表格中证实了这起网络安全事件,表示正在与外部网络安全专家共同调查这起事件,并与保险公司进行协调。

Dark Angels 是一个勒索软件团伙,于 2022 年 5 月兴风作浪,开始攻击全球各地的组织。

与几乎所有人为操作的勒索软件团伙一样,Dark Angels 侵入企业网络后通过网络横向传播。

在此过程中,威胁分子从文件服务器窃取数据,用于双重勒索攻击。

当威胁分子获得对 Windows 域控制器的访问权限后,部署勒索软件来加密网络上的所有设备。威胁分子最初使用基于 Babuk 勒索软件泄露的源代码的 Windows 和 VMware ESXi 加密器。

然而,网络安全研究人员 MalwareHunterTeam 表示,江森自控攻击中使用的 Linux 加密器与自 2021 年以来 Ragnar Locker 使用的加密器一模一样。

Dark Angels 在 2023 年 4 月推出了一个名为“ Dunghill Leaks ”的数据泄露网站,用来勒索受害者,威胁如果不支付赎金就泄露数据。

Dark Angels 的“Dunghill Leaks”数据泄露网站:

这个勒索网站目前列出了 9 个受害者,包括 Sabre 和 Sysco,他们最近披露遭到了网络攻击。