跨國巨頭遭勒索軟件攻擊：所有工廠正常運轉，所有業務離線進行

德國建材巨頭可耐福集團遭到Black Basta勒索軟件襲擊，業務運營被擾亂，被迫關閉所有IT系統以隔離事件影響；

可耐福稱，目前所有工廠正常運轉，所有業務離線進行；

Black Basta勒索軟件團伙已在網站上將可耐福列為受害者，并放出了部分樣本數據。

安全內參7月21日消息，德國建材巨頭可耐福集團（Knauf Group）宣布已成網絡攻擊目標。其業務運營被攻擊擾亂，迫使全球IT團隊關閉了所有IT系統以隔離事件影響。

此次網絡攻擊發生在6月29日晚間。截至本文發布時，可耐福仍在開展取證調查、事件響應及補救工作。

可耐福在網站主頁上發布的簡短公告寫道，“我們目前正在努力減輕對我們的客戶和合作伙伴的影響。所有工廠正常運轉，所有業務離線進行。對于可能發生的交付過程中的任何不便或延遲，我們深表歉意。”

根據外媒看到的郵件警告，作為攻擊響應的一部分，可耐福的電子郵件系統已經關閉，目前業務通信主要依靠手機和Microsoft Teams。

可耐福是一家總部位于德國的跨國建筑材料生產商，在全球墻板市場上擁有約81%的份額。

可耐福在全球多個國家擁有150處生產基地，也是美國可耐福絕熱材料公司及USG公司的所有者。

值得注意的是，可耐福絕熱材料公司也在網站上發布了關于網絡攻擊的通知，可見其同樣受到了影響。

Black Basta宣布對事件負責

雖然可耐福并未在公告中說明此次遭遇的具體攻擊類型，但從事件持續時間、影響和IT系統的恢復難度來看，這恐怕是一起勒索軟件攻擊。

事實上，名為Black Basta的勒索軟件團伙已經在其網站上發布公告，于7月16日將可耐福列為受害者。此舉也相當于宣布對這次攻擊負責。

圖：Black Basta勒索門戶將可耐福列為攻擊受害者

該勒索軟件團伙還公布了一批數據，據稱是攻擊期間從可耐福處竊取到的全部文件中的20%。目前已經有超過350名訪問者訪問了這些文件。

圖：Black Basta泄露了20%的被盜文件

記者已經看到電子郵件通信、用戶憑證、員工聯絡信息、生產文檔及ID掃描件等樣本。

既然沒有公布所有失竊文件，看起來惡意團伙仍希望能通過談判獲取贖金。

Black Basta團伙的崛起之路

Black Basta勒索軟件團伙在2022年4月首度開展RaaS攻擊，并迅速憑借針對高調受害者的雙重勒索行為闖下名號。

根據早期展現出的知識能力和談判風格來看，不少安全專家認為Black Basta應該是Conti改頭換面之后的新“馬甲”。

到2022年6月，Black Basta開始與Qbot（QuakBot）合作傳播其勒索軟件，同時開始投放Cobalt Strike并協助在受害者網絡內橫向移動。

另外，這群惡意黑客還專門為自己的勒索軟件制作了Linux版本，用于入侵運行在Linux服務器上的VMware ESXi虛擬機。

參考資料：bleepingcomputer.com