Bild: Pilz
Pilz, en av världens största tillverkare av verktyg för automatisering, har varit nere mer än en vecka efter att ha drabbats av en ransomware infektion.
“Sedan söndag, oktober 13, 2019, alla servrar och PC-arbetsplatser, inklusive bolagets kommunikation, har varit drabbade över hela världen,” Tyskland-baserade företaget skrev på sin webbplats.
“Som en försiktighetsåtgärd, företaget har tagit bort alla dator system från nätverket och blockerade tillgång till företagets nätverk.”
Företagets alla platser i 76 länder påverkades och var bortkopplad från det stora nätverk, inte filen order och kontrollera kundens status.
Det tog Pilz personal tre dagar för att få åtkomst till sina e-tjänster, och ytterligare tre dagar för att återställa e-tjänst för sin internationella platser. Tillgång till produkten order och leverans var systemet återställas först idag.
Produktionskapaciteten var inte negativt, men det går inte att kontrollera order, de har hämmats och går långsammare.
Skylla BitPaymer
Det tyska företaget — känd för sina automation reläer, styrsystem och sensorer — är den senaste i en lång rad av BitPaymer offer, Maarten van Danzig, att Leda Intelligens Analytiker på Flashback, berättade ZDNet idag.
Van Danzig kunde knyta Pilz infektion BitPaymer efter att han hittat och analyserat en BitPaymer prov som laddas upp på VirusTotal. Provet innehöll en gisslan anteckning med Pilz-relaterade kontaktuppgifter, anpassad för bolagets nätverk.
BitPaymer är en ransomware stam som dök upp under sommaren 2017 och har varit knuten till flera uppmärksammade incidenter på Skotska sjukhus, PGA, två Alaskan städer (Matanuska-Susitna och Valdez), Arizona Drycker, i attacker utnyttja en iTunes-zero-day, och, senast, på franska TV-kanalen M6.
Men BitPaymer är inte din vanliga ransomware stam. BitPaymer författare engagera sig i vad som kallas “big game hunting”, en term som myntades av Crowdstrike och som beskriver akten av att gå bara efter hög-mål-i hopp om att utvinna en stor lösensumma betalning, i stället för att pressa hem konsumenter för magra vinster.
BitPaymer är Dridex partnerskap
Under de senaste två åren, BitPaymer har delats ut enbart via Dridex botnet, van Danzig berättade ZDNet.
En ESET rapport från januari 2018 hävdade ransomware var ett verk av den Dridex författarna själva.
För närvarande är de flesta experter tror de Dridex gäng som spenderar sin tid med att skicka e-post spam som infekterar användare med Dridex trojan, sammanställer en lista av offer, och sedan vecklas ut BitPaymer på de nätverk av stora företag, i hopp om att utvinna enorma lösensummor efter att kryptera sina filer.
Historiskt sett har denna taktik har varit ganska lukrativ, och BitPaymer har varit knuten till ransomware krav som kan gå så högt som $1 miljon, Van Danzig berättade ZDNet idag i ett samtal.
Denna brottslighet modell av botnät-ransomware partnerskap är mycket populära i dessa dagar. En liknande “relation” finns också mellan operatörer av Emotet och TrickBot botnät och Ryuk ransomware gang.
En ökning i aktivitet sedan April i år
Du kan enkelt se BitPaymer modus operandi i diagrammet nedan, som består av bidrag till ID-Ransomware, en online-tjänst som sponsras av MalwareHunterTeam och Emsisoft där ransomware offer kan ladda upp prover och upptäcka den typ av ransomware de har blivit smittade.
BitPaymer inlagor till ID-Ransomware under de senaste 12 månaderna
Källa: ID-Ransomware (medföljer)
De flesta ID-Ransomware verksamhet diagram är smidig, eftersom det finns dagliga inlagor från offer som blir infekterade efter öppnande av e-postmeddelanden eller installera ransomware-infekterade filer.
Men för BitPaymer, det är olika. Spikar visar enstaka infektioner som ransomware är utplacerade på en handfull, noga utvalda mål, snarare än spammade ut i varje riktning. Detta mönster är specifika för “big-game hunting” ransomware verksamhet.
Van Danzig säger att företagen måste förstå att när de återhämtar sig från en BitPaymer infektion, deras jobb är inte gjort. Systemadministratörer måste också ta bort Dridex trojan från infekterade värdar, annars de kommer att angripas igen igen.
I själva verket är van Danzig har sett detta hända i det förflutna.
Pilz var inte omedelbart tillgänglig för en kommentar vid tidpunkten för publicering.
Säkerhet
Stora tyska tillverkare fortfarande ner en vecka efter att bli träffad av ransomware
NordVPN bekräftar data center brott
Google på att rulla ut uppdatera “i den kommande” månader att fixa Pixel 4 Face Unlock-bypass
Varför du måste tänka på säkerhet i leveranskedjan (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
Hur säker din Apple-Kort (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter