澳洲物流企业Toll Group三个月内二度遭勒索病毒攻击,而此次勒索病毒又是Nemty演变而来的新一代Nefilim病毒。
2月才遇MailTo病毒,千台主机被感染
Toll Group是一家全球物流公司,提供货运、仓储和配送服务。Toll员工规模全球大约有40,000名,并在50多个国家、地区设有办事地点。先前2月3日时Toll Group就曾遭恶意病毒MailTo勒索病毒攻击,甚至紧急于Twitter上发布暂时停用许多IT系统的消息。
1/2 As a precautionary measure, Toll has made the decision to shut down a number of systems in response to a cyber security incident. Several Toll customer-facing applications are impacted as a result. Our immediate priority is to resume services to customers as soon as possible.
—Toll Group (@Toll_Group)February 3, 2020
据计算机安全公司Carbon Black解释,MailTo也被称为Netwalker,是一款典型的勒索病毒,甚至没有试图隐藏,会在感染时立刻将文件加密。
瞄准企业网络的Mailto病毒在2020年1月31日公司Toll Group的公司网络,加密连接至公司网络的所有Windows设备,高达1000台主机被感染,导致该公司关闭许多IT系统。
台湾网络危机处理专家分析病毒如何攻击
对此,台湾学术网络危机处理中心团队也于2月提出MailTo勒索病毒的研究分析报告,说明病毒主要攻击对象为企业网络,并解释病毒如何攻击、作用,最后也提出预防措施,供企业参考。
然而在好不容易解决第一个勒索病毒感染并恢复正常运行后。5月初又传Toll Group遭新型勒索病毒攻击,这款病毒是三月被Vitali Kremez发现,从Nemty演变而来的新一代Nefilim病毒。
态度强硬不妥协,Toll Group:目前尚无明确损失
根据安全趋势报道指出,虽然目前并无资料显示Nemty和Netfilim是同一集团所为。但Netfilim可能跟大部分勒索病毒一样,是利用暴露在外的远程桌面(RDP)连接端口进行散播。同时会使用AES-128加密来锁定文件,在盗走企业资料后,借由公布机密信息作为理由来勒索企业。
这些被加密的文件、文件除了会被插入“NEFILIM”字样,文件扩展名还会被变更(编按:如“.jpg”变为“.jpg.NEFILIM”)。在感染病毒后企业若想解密这些被加密的文件,Nefilim会采电子邮件来收受赎金。
We’ve disabled MyToll as we look into a ransomware issue. We’ve put steps in place to keep things moving through the week. We apologise for the disruption and appreciate your patience.
—Toll Group (@Toll_Group)May 5, 2020
而Toll Group在此次事件中态度强硬,表示并不打算满足黑客的任何赎金要求,并且在现阶段也尚无证据表明,黑客是否已经盗走任何数据、资料。目前Toll Group暂时将MyToll关注货运状态服务关闭,其余工作正常。