著名網(wǎng)絡(luò)安全公司Qualys近日遭遇勒索軟件攻擊，略顯尷尬的是，勒索軟件的投放渠道來(lái)自另外一家網(wǎng)絡(luò)安全公司Accellion FTA的文件傳輸服務(wù)器漏洞(該漏洞由另外一家知名網(wǎng)絡(luò)安全公司FireEye旗下的Mandiant發(fā)現(xiàn))。

[[385475]]

“鏢局”被劫

據(jù)The Register報(bào)道，Qualys的云漏洞檢測(cè)技術(shù)以及SSL服務(wù)器測(cè)試站點(diǎn)遭到勒索軟件團(tuán)伙Clop的攻擊，Clop在Tor博客上曬出了Qualys的客戶發(fā)票。

Clop宣稱竊取的數(shù)據(jù)還包括Qualys的采購(gòu)訂單、客戶設(shè)備掃描結(jié)果和報(bào)價(jià)等。這些文件的性質(zhì)表明，它們是從Qualys業(yè)務(wù)部門(mén)的管理員而不是網(wǎng)絡(luò)安全部門(mén)竊取的。

基于Accellion的前車(chē)之鑒，網(wǎng)絡(luò)安全公司Emsisoft的勒索軟件幫派專家Brett Callow警告說(shuō)：“與Qualys打交道的企業(yè)應(yīng)保持高度警惕。”

該事件使Qualys顏面盡失，作為提供漏洞檢測(cè)和滲透測(cè)試等專業(yè)服務(wù)的網(wǎng)絡(luò)安全公司，Qualys在事件曝光的第一時(shí)間并未確定攻擊媒介——盡管Clop在過(guò)去的幾個(gè)月中一直專注于勒索使用存在漏洞的Accellion文件傳輸設(shè)備的用戶。直到昨日，Qualys才發(fā)布聲明稱在客戶支持系統(tǒng)中使用了存在零日漏洞的Accellion FTA設(shè)備，且已經(jīng)收到最新的漏洞調(diào)查和緩解信息。

對(duì)于攻擊造成的影響，Qualys堅(jiān)稱：“存在漏洞但Accellion FTA設(shè)備被部署在單獨(dú)的DMZ環(huán)境中，攻擊對(duì)Qualys Cloud云平臺(tái)上托管的Qualys生產(chǎn)環(huán)境，代碼庫(kù)或客戶數(shù)據(jù)沒(méi)有影響。所有Qualys平臺(tái)都將繼續(xù)發(fā)揮全部功能，并且絕不會(huì)對(duì)運(yùn)營(yíng)產(chǎn)生任何影響。”

Qualys還強(qiáng)調(diào)自己使用的Accellion FTA產(chǎn)品“是由Accellion完全管理的第三方系統(tǒng)”。

雖然在聲明中將鍋全部甩給了Accellion，但令人尷尬的是，Qualys曾在2016年發(fā)布過(guò)有關(guān)Accellion設(shè)備漏洞的研究報(bào)告。

(PDF下載：https://www.qualys.com/2016/12/06/qsa-2016-12-06/qsa-2016-12-06.pdf)。

Accelion零日漏洞引發(fā)連環(huán)勒索攻擊

近來(lái)，Clop通過(guò)Accelion設(shè)備漏洞實(shí)施了一系列的勒索軟件攻擊。最近一個(gè)知名受害企業(yè)是加拿大航空航天公司龐巴迪(Bombardier)，在攻擊過(guò)程中，Clop泄漏了龐巴迪向全球多國(guó)空軍提供的軍用級(jí)雷達(dá)的細(xì)節(jié)。此外，遭遇數(shù)據(jù)泄漏勒索的知名企業(yè)還包括倫敦廣告代理商The7stars和德國(guó)軟件巨頭Software AG等。

剛剛經(jīng)歷并發(fā)現(xiàn)SolarWinds供應(yīng)鏈攻擊的美國(guó)網(wǎng)絡(luò)安全巨頭FireEye認(rèn)為，勒索軟件團(tuán)伙Clop一直是另外一個(gè)犯罪活動(dòng)的經(jīng)銷(xiāo)商，后者在12月和1月實(shí)施了針對(duì)Accellion設(shè)備的數(shù)據(jù)竊取。

昨天，Accelion發(fā)布了FireEye旗下網(wǎng)絡(luò)安全公司Mandiant編寫(xiě)的攻擊響應(yīng)處理報(bào)告(PDF下載：

https://www.accellion.com/sites/default/files/trust-center/accellion-fta-attack-mandiant-report-full.pdf)，報(bào)告指出：“ 去年12月和今年1月份的漏洞利用表明，攻擊者對(duì)高度復(fù)雜的Accellion FTA軟件的內(nèi)部運(yùn)作極為熟悉，這很可能是通過(guò)全面大量的逆向工程的結(jié)果。”

2021數(shù)據(jù)泄漏勒索將盛行

Emsisoft的安全專家Callow指出，美國(guó)CISA(關(guān)鍵基礎(chǔ)設(shè)施安全局)的安全咨文表明勒索軟件犯罪分子正在從勒索活動(dòng)中牟取暴利，并暗示很多受害者已經(jīng)付費(fèi)以避免尷尬。

“在2020年，Clop發(fā)布了從1300多家公司(包括軍事工業(yè)領(lǐng)域的承包商)中盜取的數(shù)據(jù)，還有很多企業(yè)和組織選擇付費(fèi)以防止泄漏信息被發(fā)布。”Callow說(shuō)，“當(dāng)然，由于并非所有勒索軟件團(tuán)伙都在2020年竊取數(shù)據(jù)，因此我們預(yù)計(jì)2021年會(huì)有更多的數(shù)據(jù)泄漏勒索案件。”

ESET安全專家杰克·摩爾(Jake Moore)表示：“Clop為代表的攻擊者們正表現(xiàn)得越來(lái)越熟練，開(kāi)始使用高效率的勒索策略來(lái)確保他們拿到想要的東西。如今，僅僅加密數(shù)據(jù)進(jìn)行勒索已經(jīng)有些“老套”，攻擊者發(fā)現(xiàn)竊取和出售數(shù)據(jù)更加有利可圖(編者：甚至在一些針對(duì)安全能力較強(qiáng)的目標(biāo)實(shí)施的勒索軟件攻擊中，攻擊者選擇不加密數(shù)據(jù)而是直接竊取數(shù)據(jù))。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文