LockBit Gang 將發布 103GB 的曼谷航空客戶數據 - 網安 - 專業的網絡安全產業、社區、知識平臺

一家自稱為 DarkTracer 的暗網情報公司（顯然是一家獨立的英特爾公司，而不是更知名的 DarkTrace）在推特上發布了 LockBit 2.0 倒計時時鐘的屏幕截圖，截至周五，該時鐘顯示還剩四天半。“LockBit 勒索軟件團伙已將曼谷航空公司列入受害者名單，”DarkTracer發推文說。“它宣布將發布 103GB 的壓縮文件。”

[警報] LockBit 勒索軟件團伙已將曼谷航空公司列入受害者名單。它宣布將發布 103GB 的壓縮文件。pic.twitter.com/LT2C0Eixn
— DarkTracer：DarkWeb 犯罪情報 (@darktracer_int) ，2021 年 8 月 25 日

一天前，也就是周四，曼谷航空公司公開承認它在一周前，即 8 月 23 日星期一遭到網絡攻擊。該公司在一份新聞稿中表示，它仍在“緊急處理”這起事件。，并正在努力加強其防御。

“在發現此類事件后，該公司立即采取行動，在網絡安全團隊的協助下調查并遏制該事件。目前，該公司正在緊急進行調查，核實泄露的數據和受影響的乘客，并采取相關措施加強其IT系統。” ——曼谷航空新聞稿

到目前為止，屬于乘客的受影響個人數據似乎包括：

乘客姓名
姓
國籍
性別
電話號碼
電子郵件地址
其他聯系方式
護照信息
歷史旅游信息
部分信用卡信息
特別餐信息

該公司表示，攻擊者顯然無法訪問曼谷航空公司的運營或航空安全系統。該公司道歉稱，“曼谷航空公共有限公司非常重視保護乘客數據，對于此次惡意事件造成的擔憂和不便，航空公司深表歉意。”

該航空公司表示已通知有關當局，包括泰國皇家警察。

鎖位 2.0

LockBit 2.0 類似于它的勒索軟件即服務 (RaaS) 兄弟 DarkSide 和 REvil：就像其他操作一樣。LockBit 使用附屬模式出租其勒索軟件平臺，從由此產生的任何贖金中抽取一部分。

在DarkSide和REvil都關閉運營之后，該團伙繼續瘋狂招聘，在受感染的系統上張貼墻紙，其中包括邀請內部人員幫助破壞系統的文本，并承諾支付數百萬美元。

本月早些時候，LockBit 攻擊了埃森哲，這是一家全球商業咨詢公司，對一些世界上最大、最有影響力的公司有內幕追蹤。

當時，Cyble 研究人員在推文流中建議埃森哲攻擊可能是內部人員的工作。“我們知道#LockBit #threatactor 一直在雇傭企業員工來訪問他們目標的網絡，”他們在推特上寫道，同時還有一個時鐘在倒計時埃森哲還剩多少時間來支付贖金。

根據趨勢科技兩周前發布的一份報告，7 月和 8 月的攻擊采用了 LockBit 2.0 勒索軟件，該勒索軟件具有增強的加密方法。

Threatpost 已與 DarkTracer 聯系以獲取更多詳細信息和更新，并已聯系 DarkTrace 以了解有關其近乎同名的更多信息。我們還聯系了曼谷航空公司以了解更多詳細信息，包括是否要求贖金，該公司是否已經弄清楚有多少客戶受到了違規行為的影響，以及它是否計劃提供身份盜用保護。

當心網絡釣魚企圖

曼谷航空公司建議乘客盡快聯系他們的銀行或信用卡提供商并更改任何泄露的密碼。此外，它還建議乘客留意可疑或未經請求的電話和/或電子郵件——尤其是聲稱來自曼谷航空公司并試圖收集個人數據的網絡釣魚企圖。

它說，曼谷航空公司不會聯系客戶詢問支付卡詳細信息等。如果乘客遇到此類網絡釣魚企圖，曼谷航空公司表示，他們應該向執法部門和航空公司報告，地址為：

免費電話 1-800-010-171（泰國境內）上午 8 點至下午 5:30（泰國當地時間）
收費電話 800-8100-6688（海外）上午 8 點至下午 5:30（泰國當地時間）
電子郵件：infosecurity@bangkokair.com

Step Numero Uno：識別入口點

托管檢測和響應 (MDR) 服務提供商 CRITICALSTART 的專業服務總監 Quentin Rhoads-Herrera 觀察到，在通知多個不同國家/地區的受影響客戶時，曼谷航空公司面臨著一項艱巨的任務。一個復雜的事實是，它需要不同的監管機構來監督各種法規——例如，通用數據保護條例(GDPR) 規則。

“曼谷航空需要做的主要事情是確定 LockBit 使用的入口點，”Rhoads-Herrera 周一向 Threatpost 觀察到。“如果 LockBit 集團由于未打補丁的面向外部的系統而能夠進入，那么他們不僅需要評估他們當前的外部風險，還需要改進他們的整體資產庫存和補丁管理流程，以確保系統經常更新. 了解犯罪分子最初進入的方式對于確保未來不會發生這種情況至關重要。”

他強調，曼谷航空公司還需要了解 LockBit 曾經在內部所做的一切，以確保它加強防御，并對類似的未來活動發出警報。“只要有足夠的決心，任何罪犯都可以破壞公司，”Rhoads-Herrera 通過電子郵件評論道。“這就是為什么組織努力縮短檢測和響應時間以限制此類違規行為的損失非常重要的原因。”

BHe 還指出 - 假設這是一次勒索軟件攻擊 - 再加上泄露數據的威脅這一事實使其成為雙重勒索攻擊，其中癱瘓系統的傷害因受到威脅的信息泄露而加劇。

他指出，更有理由測試備份基礎設施：“非常重要的是，組織不僅要保護他們的備份基礎設施，以便在發生破壞后能夠恢復，而且還要保護最重要的數據，并對離開其基礎設施的大數據發出警報。在這種情況下，LockBit 獲得的數據可用于向曼谷航空公司勒索額外的加密貨幣，或者他們可以將其發布為破壞曼谷航空公司品牌的一種方式，同時作為犯罪組織而臭名昭著。”