Billede: Pilz
Pilz, en af verdens største producenter af automatisering værktøjer, har været nede mere end en uge efter at have fået en ransomware infektion.
“Siden søndag, oktober 13, 2019, alle servere og PC’ er, arbejdsstationer, herunder virksomhedens kommunikation, er blevet ramt i hele verden,” Tyskland-baserede selskab skrev på sin hjemmeside.
“Som en sikkerhedsforanstaltning, virksomheden har fjernet alle edb-systemer fra nettet og blokeres adgang til virksomhedens netværk.”
Alle virksomhedens lokationer i 76 lande, der blev ramt og var koblet fra den primære netværk, i stand til filen ordrer og kunde kontrollere status.
Det tog Pilz-team tre dage til at få adgang til sin e-mail-tjeneste, og en anden tre dage til at gendanne e-mail-tjeneste for sin internationale steder. Adgang til produktet ordrer og levering system blev genoprettet kun i dag.
Produktion evner var ikke påvirket, men ude af stand til at kontrollere ordrer, de har været hæmmet og vil ved lavere priser.
Skylden BitPaymer
Det tyske selskab-kendt for sin automatisering relæer, kontrolenheder og sensorer-er den seneste i en lang række af BitPaymer ofre, Maarten van Dantzig, Føre Intelligence Analytiker ved FoxIT, fortalte ZDNet i dag.
Van Dantzig var i stand til at binde Pilz infektion til BitPaymer, efter at han har fundet og analyseret en BitPaymer prøve uploadet på VirusTotal. Prøven indeholdt en løsesum note med Pilz-relaterede kontaktoplysninger, der er tilpasset til virksomhedens netværk.
BitPaymer er en ransomware stamme, der dukkede op i sommeren 2017 og har været bundet til flere højt profilerede hændelser på Skotske hospitaler, PGA, to Alaskan byer (Matanuska-Susitna og Valdez), Arizona Drikkevarer, i angreb udnytte en iTunes-nul-dag, og de fleste for nylig, på fransk TV-station M6.
Men BitPaymer er ikke din almindelige ransomware stamme. BitPaymer forfattere engagere sig i hvad der kaldes “big game jagt”, et begreb opfundet af Crowdstrike, og som beskriver den handling at gå efter high-value targets — i håb om at opnå en stor løsesum betaling, i stedet for at afpresse hjem forbrugerne for beskedne overskud.
BitPaymer er Dridex partnerskab
I løbet af de seneste to år, BitPaymer har været distribueres udelukkende via Dridex botnet, van Dantzig fortalte ZDNet.
En ESET rapport fra januar 2018 hævdede ransomware blev arbejdet i Dridex forfattere selv.
I øjeblikket er de fleste eksperter mener, at Dridex bande bruger deres tid på at sende e-mail spam, der inficerer brugere med Dridex trojan, udarbejder en liste over ofre, og derefter udsender BitPaymer på net af store selskaber, i håb om at udvinde store løsepenge efter at kryptere deres filer.
Historisk set har denne taktik har været temmelig indbringende, og BitPaymer har været bundet til ransomware krav, der går så højt som $1 million, Van Dantzig fortalte ZDNet i dag i et telefonopkald.
Dette cyberkriminalitet model af botnet-ransomware partnerskab er meget populære i disse dage. En lignende “arbejdsforhold” findes også mellem operatørerne af de Emotet og TrickBot botnets og Ryuk ransomware bande.
En stigning i aktivitet siden April i år
Du kan nemt se, BitPaymer ‘ s modus operandi i nedenstående figur, der består af indlæg til ID-Ransomware, en online-tjeneste, sponsoreret af MalwareHunterTeam og Emsisoft, hvor ransomware ofre kan uploade prøver og afsløre den type af ransomware, at de har været smittet.
BitPaymer indlæg til ID-Ransomware i det sidste 12 måneder
Kilde: ID-Ransomware (medfølger)
De fleste ID-Ransomware aktivitet diagrammer er glatte, da der er daglige indlæg fra ofre, der bliver smittet efter åbning af e-mails eller installere ransomware-inficerede filer.
Men for BitPaymer, dette er anderledes. Spikes vis lejlighedsvis ransomware infektioner, som er implementeret på en håndfuld nøje udvalgte mål, snarere end spammet ud i hver retning. Dette mønster er specifikke for “big-game jagt” ransomware operationer.
Van Dantzig siger, at virksomheder skal forstå, at når de kan komme fra en BitPaymer infektion, deres job er udført. Systemadministratorer skal også fjerne de Dridex trojan fra inficerede værter, da de ellers vil blive inficeret igen, igen.
I virkeligheden, van Dantzig har set det ske i fortiden.
Pilz var ikke umiddelbart tilgængelig for en kommentar på tidspunktet for offentliggørelse.
Sikkerhed
Store tyske producent stadig ned en uge efter at blive ramt af ransomware
NordVPN bekræfter data center brud
Google til at rulle ud opdater “i den kommende” måneder til at lave Pixel 4 Face Unlock-bypass
Hvorfor du skal tænke på sikkerhed i forsyningskæden (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
Hvordan du sikrer din Apple-Kort (TechRepublic)
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre