Immagine: Pilz
Pilz, uno dei maggiori produttori mondiali di strumenti di automazione, è stato premuto per più di una settimana dopo aver sofferto di una infezione ransomware.
“A partire da domenica, 13 ottobre, 2019, tutti i server e le postazioni di lavoro, comprese le società di comunicazione, sono state colpite in tutto il mondo,” la società con sede in Germania, ha scritto sul suo sito web.
“Come precauzione, l’azienda ha rimosso tutti i sistemi di computer dalla rete e bloccato l’accesso alla rete aziendale.”
Tutte le sedi in 76 paesi hanno risentito e scollegati dalla rete principale, in grado di file di ordini e di controllo del cliente status.
Ci sono voluti Pilz personale di tre giorni per recuperare l’accesso al proprio servizio di posta elettronica, e un altro di tre giorni per ripristinare il servizio e-mail per le sue sedi internazionali. L’accesso al prodotto a ordini e consegne sistema è stato ripristinato solo oggi.
Capacità di produzione non erano interessati, ma non è in grado di controllare gli ordini, sono stati ostacolati e andando a tassi più bassi.
La Colpa BitPaymer
L’azienda tedesca-noto per il suo automazione relè, controller e sensori-è l’ultima di una lunga serie di BitPaymer vittime, Maarten van Dantzig, Piombo Analista di Intelligence a FoxIT, ha detto a ZDNet oggi.
Van Dantzig è stato in grado di legare il Pilz infezione BitPaymer, dopo aver trovato e analizzato un BitPaymer campione caricato su VirusTotal. Il campione conteneva una nota di riscatto con Pilz relativi recapiti, su misura per la rete dell’azienda.
BitPaymer è un ransomware, un ceppo che è apparso nell’estate del 2017 ed è stato legato per molti di alto profilo degli incidenti Scozzese ospedali, il PGA, due Alaskan città (Matanuska-Susitna e Valdez), in Arizona, Bevande, in attacchi sfruttando iTunes zero-day, e, più di recente, alla francese, TV stazione M6.
Ma BitPaymer non è il vostro normale ransomware ceppo. BitPaymer gli autori di impegnarsi in ciò che si chiama “caccia grossa”, un termine coniato da Crowdstrike e che descrive l’atto di andare solo dopo obiettivi di alto valore — nella speranza di estrazione di un grande riscatto, invece di estorcere a casa dei consumatori per i magri profitti.
BitPaymer del Dridex partnership
Negli ultimi due anni, BitPaymer è stato distribuito esclusivamente tramite il Dridex botnet, van Dantzig detto a ZDNet.
Un ESET report da gennaio 2018 affermato il ransomware è stato il lavoro di Dridex stessi autori.
Attualmente, la maggior parte degli esperti ritengono che il Dridex gang trascorre il loro tempo l’invio di email di spam che infetta gli utenti con il Dridex trojan, compila un elenco di vittime, e quindi distribuisce BitPaymer su reti di grandi aziende, nella speranza di estrarre enormi riscatta dopo la crittografia di file.
Storicamente, questa tattica è stata abbastanza redditizio, e BitPaymer è stato legato a ransomware richieste di andare come alto come $1 milioni di euro, Van Dantzig detto a ZDNet, oggi, in una telefonata.
Questo cybercrime modello di botnet ransomware partnership è estremamente popolare in questi giorni. Un simile “rapporto di lavoro” esiste anche tra gli operatori del Emotet e TrickBot botnet e il Ryuk ransomware gang.
Un picco di attività da aprile di quest’anno
Si può facilmente vedere BitPaymer modus operandi nel grafico qui sotto, che consiste di contributi per ID-Ransomware, un servizio online promosso dal MalwareHunterTeam e Emsisoft dove ransomware vittime possono caricare i campioni e rilevare il tipo di ransomware sono stati infettati.
BitPaymer contributi per ID-Ransomware negli ultimi 12 mesi
Fonte: ID-Ransomware (in dotazione)
La maggior parte degli ID-Ransomware tabelle di attività sono lisci, come ogni giorno ci sono osservazioni da parte delle vittime che vengono infettati dopo l’apertura di messaggi di posta elettronica o l’installazione di ransomware file infetti.
Tuttavia, per BitPaymer, questo è diverso. I picchi di mostrare occasionale infezioni ransomware è distribuita su una manciata di accuratamente selezionati obiettivi, piuttosto che trasmette in ogni direzione. Questo modello è specifico per la “grande caccia” ransomware operazioni.
Van Dantzig dice che le aziende devono capire che, una volta recuperato da un BitPaymer infezione, il loro lavoro non è finito. Gli amministratori di sistema deve anche rimuovere Dridex trojan da host infetti, altrimenti verrà infettato di nuovo.
Infatti, van Dantzig ha visto questo accadere in passato.
Pilz non era immediatamente disponibile per un commento al momento della pubblicazione.
Sicurezza
Importante produttore tedesco ancora giù una settimana dopo essere stato colpito da ransomware
NordVPN conferma data center violazione
Google per il roll-out dell’aggiornamento ‘nei prossimi mesi per risolvere Pixel 4 Face Unlock di bypass
Perché hai bisogno di pensare alla sicurezza della catena di approvvigionamento (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come proteggere il vostro Apple Card (TechRepublic)
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati