欧洲能源巨头遭勒索，用1000万欧元换10TB数据？

GA黄金甲

工业互联网安全专题 > 安全资讯

欧洲能源巨头遭勒索，用1000万欧元换10TB数据？

作者：Sandra1432 2020-04-15

近日，攻击者利用Ragnar Locker勒索软件袭击了葡萄牙跨国能源公司EDP（Energias de Portugal），并且索要1580的比特币赎金（折合约1090万美元/990万欧元）。对此，EDP尚未作出回复。

EDP集团是欧洲能源行业（天然气和电力）最大的运营商之一，也是世界第四大风能出产商。该公司在全球四个大洲的19个国度/地域占有业务，占有超过11500名员工，并为超过1100万客户提供能源。

攻击者扬言“撕票”10TB的窃密数据

在这次攻击过程中，Ragnar Locker勒索软件的幕后黑手宣称已经获取了公司10TB的敏感数据文件，若是EDP不支付赎金，那么他们将在公开泄露这些数据。

据Ragnar的泄密网站说到：

我们已经下载了EDP组织服务器10TB的私密信息。作为证据，我们提供了一些你方企业网络中下载的文件截屏！此刻这个帖子只是一时，但是若是你们不支付赎金，这也会成为永远性的页面！我们将在各大驰名报社、媒体、博客公开这些文件资料，并且奉告你们的客户、合作同伴和竞争敌手，所以这些文件是机密还是公开齐全取决于你们！

Ragnar 网站的威胁通知

其中，攻击者泄露了部门文件来忠告EDP，蕴含一个edpradmin2.kdb的文件，这是KeePass密码治理数据库。当点开这个泄露文件的链接，会直接导出EDP员工的登录名、密码、帐户、URLS以及注解。

MalwareHunter团队发现了这次勒索软件的攻击样本，并找到赎金纪录和Tor付款页面，攻击者在其中具体描述相始过程和勒索金额。

凭据EDP加密系统上的赎金纪录，攻击者可能窃取有关账单、合同、买卖、客户和合作同伴的机密信息。

赎金注明说：“并确保，若是您不付款，所有文件和文档将被颁布给所有人查看，并且我们将通过直接链接通知所有客户和合作同伴有关这次泄漏的信息。”

图片来自推特

所以若是你们不想名声受损，最好尽快按要求支付赎金。

攻击者在即时窗口中嘲讽EDP

Ragnar Locker勒索软件背后的把持者还在通过“客服窗口”和EDP进行实时谈天，要求他们查抄公司网站关于这个泄密威胁的通知，并询问公司是否愿意看到企业个人信息呈此刻快讯、技术博客和股市网站上。

他们还补充路“时不待人”，还忠告EDP不要尝试使用除Ragnar Locker以表的解密器来破解文件，不然将罕见据粉碎和迷失的风险。

攻击者还调侃EDP若是在系统加密两天后联系他们，可能享受优惠价值。但是，他们也要等着，勒索软件的即时谈天也不会全天候在线。

截止发文，EDP公司对此尚未置评。

Ragnar Locker加密过程

Ragnar Locker勒索软件在2019年12月底初次被发现，专门针对托管服务提供商（MSP）的常用软件，来入侵网络窃取数据文件。

MSP安全公司Huntress Labs的首席执行官Kyle Hanslovan在2月说到，他的公司发现Ragnar Locker通过MSP软件ConnectWise进行了部署。

经过窥伺和部署前阶段，攻击者构建针对性强的勒索软件可执行文件，该可执行文件为加密文件增长了特定的扩大名，拥有嵌入式RSA-2048密钥，并参与自界说勒索单据。

Ragnar Locker拥有屡次的赎金纪录，赎金纪录蕴含受害者的公司名称、Tor站点的链接以及蕴含受害者已颁布数据的数据泄漏站点，赎金领域从20万美元到约莫60万美元不等。

SentinelLabs对这种勒索病毒进行分析，掌管人Vitali Kremez提及，Ragnar Locker初次启动时将查抄配置的Windows说话首选项，若是将它们设置为前苏联国度之一，则会终止该过程并且不合推算机进行加密。若是受害者通过了此查抄，则勒索软件将终场上一节中所述的各类Windows服务。

此刻已经筹备好对推算机进行加密，Ragnar Locker将起头对推算机上的文件进行加密。

加密文件时，它将跳过以下文件加注文件名和扩大名中的文件：

kernel32.dll

Windows

Windows.old

Tor browser

Internet Explorer

Google

Opera

Opera Software

Mozilla

Mozilla Firefox

$Recycle.Bin

ProgramData

All Users

autorun.inf

boot.ini

bootfont.bin

bootsect.bak

bootmgr

bootmgr.efi

bootmgfw.efi

desktop.ini

iconcache.db

ntldr

ntuser.dat

ntuser.dat.log

ntuser.ini

thumbs.db

.sys

.dll

.lnk

.msi

.drv

.exe

对于每个加密文件，文件名后城市增长一个预配置的扩大名，如.ragnar_22015ABC 。如下所示，“ RAGNAR”文件象征也将增长到每个加密文件的末尾。

加密文件象征

最后，将创建一个名为.RGNR_ [extension] .txt的赎金单据，其中蕴含有关受害者文件产生了什么情况、赎金金额、比特币支付地址、与攻击者进行通讯的TOX谈天ID等信息，若是TOX则用备份的电子邮件地址。

Ragnar Locker勒索单据

目前针对Ragnar Locker勒索软件加密文件尚无法解密，后续本文将持续跟进。

（转载来自：FreeBuf.com）

急剧链接

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

工业互联网安全专题

欧洲能源巨头遭勒索，用1000万欧元换10TB数据？

作者：Sandra1432 2020-04-15

急剧链接

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

工业互联网安全专题

欧洲能源巨头遭勒索，用1000万欧元换10TB数据 ？

作者：Sandra1432 2020-04-15

急剧链接

7*24幼时服务热线

欧洲能源巨头遭勒索，用1000万欧元换10TB数据？