CWT(Carlson Wagonlit Travel)是一家擁有全球客戶的企業(yè)旅行社領(lǐng)域的巨頭，在上周末勒索軟件攻擊之后，CWT可能已向未知黑客支付了450萬(wàn)美元的費(fèi)用。

[[336402]]

獨(dú)立的惡意軟件獵人@JAMESWT上周四發(fā)布了一條推文，稱攻擊CWT的惡意軟件樣本已于7月27日上傳到VirusTotal;他還提供了勒索軟件信息，表明該勒索軟件是Ragnar Locker。

@JAMESWT還報(bào)道了勒索軟件攻擊者向CWT索要414比特幣的贖金，按當(dāng)前匯率計(jì)算約為450萬(wàn)美元。CWT發(fā)言人拒絕透露贖金是否已付，攻擊的任何技術(shù)細(xì)節(jié)等信息。

但是本周末CWT在媒體聲明中表示攻擊影響已經(jīng)結(jié)束：“我們可以確認(rèn)，作為預(yù)防措施，暫時(shí)關(guān)閉我們的系統(tǒng)后，我們的系統(tǒng)恢復(fù)了在線狀態(tài)，該事件現(xiàn)在已經(jīng)停止。”

目前還不清楚CWT如此快速恢復(fù)系統(tǒng)是否是因?yàn)橹Ц读粟H金，但可以確定的是，該事件的潛在影響力非常廣泛：CWT表示，它為33%的《財(cái)富》500強(qiáng)公司和不計(jì)其數(shù)的小型公司提供旅行服務(wù)。根據(jù)@JAMESWT上傳的贖金記錄，黑客聲稱已經(jīng)下載了公司2TB的數(shù)據(jù)，包括“賬單信息、保險(xiǎn)案例、財(cái)務(wù)報(bào)告、業(yè)務(wù)審計(jì)、銀行賬戶、企業(yè)往來(lái)函以及客戶信息”。黑客所指的CWT客戶，包括諸如AXA Equitable、Abbot Laboratories、AIG、亞馬遜、波士頓科學(xué)、Facebook、強(qiáng)生、SONOCO、雅詩(shī)蘭黛等知名公司。

Ragnar Locker的“數(shù)據(jù)竊取+勒索”雙管齊下的做法是當(dāng)下勒索軟件運(yùn)營(yíng)商的流行趨勢(shì)：

鎖定文件，但是如果受害者不付款，還可能竊取并威脅釋放敏感數(shù)據(jù)。知名律師事務(wù)所Grubman Shire Meiselas&Sacks就遭遇這種情況，該公司在5月受到REvil勒索軟件的打擊。攻擊者揚(yáng)言要泄露756GB的失竊數(shù)據(jù)，其中包括有關(guān)Lady Gaga、Drake和麥當(dāng)娜的個(gè)人信息。

實(shí)際上，Ragnar Locker勒索軟件背后的攻擊者正是加密前先竊取數(shù)據(jù)的老手，就像四月份在對(duì)北美Energias de Portugal(EDP)網(wǎng)絡(luò)的攻擊中一樣。網(wǎng)絡(luò)攻擊者聲稱已竊取了10TB的敏感公司數(shù)據(jù)，并要求支付1,580比特幣(約1100萬(wàn)美元)。

Vectra的EMEA主管Matt Walmsley通過(guò)電子郵件說(shuō)：“Ragnar Locker是一個(gè)新穎而陰險(xiǎn)的勒索軟件組織，正如葡萄牙能源供應(yīng)商EDP于今年早些時(shí)候發(fā)現(xiàn)的那樣。”“與Maze Group勒索軟件所采用的“聲譽(yù)與羞辱”策略類似，受害者的數(shù)據(jù)在加密之前已被竊取，并用于提高贖金支付成功率。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文