美國能源公司罕見披露勒索軟件攻擊細節
責編:gltian |2023-10-24 14:22:30近日,美國能源服務公司BHI Energy罕見地披露了網絡攻擊詳情,包括Akira勒索軟件如何在攻擊期間入侵其網絡并竊取數據。
BHI Energy隸屬于西屋電氣公司,是一家專業工程服務和人員配備解決方案提供商,為私營和政府運營的石油和天然氣、核能、風能、太陽能和化石發電裝置以及輸配電設施提供支持。
在向受影響人員發送的數據泄露通知中,BHI Energy披露了有關Akira勒索軟件團伙如何于2023年5月30日入侵其網絡的詳細信息。
Akira首先使用竊取的第三方承包商的VPN賬號初始訪問BHI Energy的內部網絡。
根據數據泄露通知:“在初始訪問一周后,Akira使用同一受感染帳戶對BHI的內部網絡進行了偵察。”
Akira于2023年6月16日再次訪問了BHI的內部網絡并清點了將要竊取的數據。6月20日至29日期間,Akira竊取了76.7萬個文件約690GB數據,其中包括BHI的Windows Active Directory數據庫。
最后,在2023年6月29日,在Akira從BHI內部網絡竊取了所有目標數據后,在所有設備上部署了Akira勒索軟件來加密文件。此時,BHI的IT團隊才意識到公司已受到攻擊。
BHI表示,他們立即通知了執法部門并與外部專家合作恢復受影響的系統。Akira在BHI網絡上的立足點已于2023年7月7日被清除。
BHI還表示,由于云備份解決方案中的數據未受勒索軟件攻擊影響(加密),因此能夠在不支付贖金的情況下恢復系統。
此外,BHI還加強了安全措施,具體措施包括對VPN訪問實施多因素身份驗證、執行全局密碼重置、擴展EDR和AV工具的部署以覆蓋其環境中的所有資產,以及淘汰舊系統等。
參考鏈接:
https://www.documentcloud.org/documents/24075435-bhi-notice
來源:GoUpSec