贖金590萬美元!愛荷華州農(nóng)場服務(wù)提供商遭BlackMatter勒索攻擊

美國農(nóng)民合作社新合作社遭遇 BlackMatter 勒索軟件攻擊，要求其提供590萬美元的贖金，以避免泄露被盜數(shù)據(jù)并提供解密器。

新合作社是一家農(nóng)民飼料和谷物合作社，在愛荷華州有60多個分店。

路透社報道稱，該合作社涉及糧食業(yè)務(wù)的各個方面，包括運行儲糧電梯、銷售化肥、向農(nóng)民采購以及為農(nóng)民提供技術(shù)。

愛荷華州西得梅因美國商品部總裁唐·羅斯告訴媒體，這周對農(nóng)民來說尤其重要，因為這是收成開始增加的時候，尤其是大豆等作物。據(jù)彭博社報道，新合作社表示，它正在與客戶合作，在他們試圖恢復(fù)系統(tǒng)的同時，為動物提供谷物。

盡管白宮發(fā)出警告，勒索軟件組織并沒有停止對農(nóng)業(yè)的攻擊。本月早些時候，聯(lián)邦調(diào)查局發(fā)布了一份通知，警告食品和農(nóng)業(yè)部門的公司注意旨在破壞供應(yīng)鏈的勒索軟件攻擊。

“受勒索軟件侵害的食品和農(nóng)業(yè)企業(yè)因支付贖金、生產(chǎn)力損失和補救成本而遭受重大經(jīng)濟損失。公司也可能會丟失專有信息和個人身份信息，并可能因勒索軟件攻擊而遭受聲譽損失，”聯(lián)邦調(diào)查局說。

590萬美元贖金，超期將翻倍

在周末勒索軟件攻擊中，威脅行為者要求 590 萬美元的贖金，如果在五天內(nèi)沒有支付贖金，贖金將增加到1180萬美元。

這些贖金要求是談判的起點，如果受害者決定支付，通常會導(dǎo)致支付金額大大減少。

NEW Cooperative 已向記者確認(rèn)了這次攻擊，并表示他們已將系統(tǒng)脫機以遏制攻擊的傳播。

BlackMatter 瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施

研究人員將勒索軟件樣本上傳到公共惡意軟件分析站點后，首次了解到這次攻擊。

該樣本允許訪問BlackMatter勒索信、勒索軟件協(xié)商頁面和包含涉嫌被盜數(shù)據(jù)的屏幕截圖的非公開數(shù)據(jù)泄漏頁面。

BlackMatter被認(rèn)為是攻擊Colonial Pipeline后消失的DarkSide勒索軟件的改版。

BlackMatter 最初出現(xiàn)時，他們表示不會針對“關(guān)鍵基礎(chǔ)設(shè)施(核電站、發(fā)電廠、水處理設(shè)施)”。

從Twitter上分享的談判頁面截圖中，NEW Cooperative詢問BlackMatter為什么他們受到攻擊，因為它們被認(rèn)為是關(guān)鍵基礎(chǔ)設(shè)施，攻擊將導(dǎo)致糧食、豬肉和雞肉的食品供應(yīng)中斷。

新合作社還表示，他們將不得不就此次攻擊與監(jiān)管機構(gòu)和CISA聯(lián)系。

BlackMatter回應(yīng)說，他們不“遵守規(guī)則”，并威脅說如果新合作社不改變他們的談判方式，他們將把贖金加倍。

“我不是在威脅你。這已經(jīng)不是我們能控制的了。我們無法控制監(jiān)管機構(gòu)和美國政府的所作所為?！?/p>

“這次襲擊的影響可能比Colonial Pipeline襲擊嚴(yán)重得多，鑒于已經(jīng)造成的破壞，我們無法控制?！?/p>

“我只是告訴你，這樣你就不會感到驚訝，因為你似乎不明白我們是誰，我們的公司在食品供應(yīng)鏈中扮演什么角色?！?/p>

BlackMatter回應(yīng)說：“沒有人會免費給你解密器，需要用錢。”

攻擊者聲稱竊取了1,000 GB的數(shù)據(jù)

在非公開的數(shù)據(jù)泄露頁面上，攻擊者聲稱竊取了soilmap.com 項目的源代碼、研發(fā)結(jié)果、員工敏感信息、財務(wù)文件以及KeePass密碼管理器的導(dǎo)出數(shù)據(jù)庫。

該頁面包括涉嫌被盜數(shù)據(jù)的截圖，包括法律文件、應(yīng)用程序截圖和財務(wù)信息。

值得注意的是，就在周末，明尼蘇達(dá)州農(nóng)業(yè)供應(yīng)合作社水晶谷遭遇勒索軟件攻擊，成為第二個被攻擊的農(nóng)業(yè)合作社。勒索軟件攻擊導(dǎo)致他們關(guān)閉IT系統(tǒng)，阻止使用Visa、Mastercard和Discover信用卡付款，但尚不清楚是哪個團(tuán)伙。

美國政府將糧食和農(nóng)業(yè)列為對美國至關(guān)重要的關(guān)鍵基礎(chǔ)設(shè)施。Armis的CISO Curtis Simpson表示，食品和農(nóng)業(yè)行業(yè)嚴(yán)重依賴互聯(lián)機械來為業(yè)務(wù)的關(guān)鍵方面提供動力。

由于大多數(shù)公司對影響這些資產(chǎn)的風(fēng)險和威脅的可見性有限，它們受到攻擊的總體水平(包括通過利用聯(lián)網(wǎng)機器)以及獲得贖金的可能性很高，因此這些聯(lián)網(wǎng)機器越來越成為網(wǎng)絡(luò)犯罪分子的目標(biāo)。農(nóng)業(yè)供應(yīng)鏈?zhǔn)艿焦粢院?，除了影響自身業(yè)務(wù)以外，下游如餐飲服務(wù)提供商、個人消費者等都受到嚴(yán)重影響。

給關(guān)鍵基礎(chǔ)行業(yè)公司的建議

工業(yè)網(wǎng)絡(luò)安全公司Claroty的CISO兼首席產(chǎn)品官Grant Geyer表示，無法判斷合作社的 OT系統(tǒng)是否也受到了損害。一般情況下，企業(yè)在第一時間并不了解黑客滲透的深度和范圍有多深，因此企業(yè)應(yīng)盡快排查網(wǎng)絡(luò)安全問題和數(shù)據(jù)泄露情況，并盡可能從基礎(chǔ)設(shè)施中恢復(fù)和移除攻擊者。與此同時，由于合作社知道 KeePass 數(shù)據(jù)已被盜，他們需要繼續(xù)鎖定帳戶并創(chuàng)建具有復(fù)雜密碼和多因素身份驗證的新帳戶。

很重要的一步是，需要與公司合作進(jìn)行事件響應(yīng)活動，例如分類以清除攻擊者的任何殘余，主動尋找緩解方法，并從現(xiàn)在開始對數(shù)據(jù)備份，源代碼等做好嚴(yán)密保護(hù)。準(zhǔn)確了解軟件資產(chǎn)清單可以清晰透明的發(fā)現(xiàn)系統(tǒng)中的安全漏洞，并做好后續(xù)修補工作。

安全漏洞一旦被利用將為企業(yè)帶來難以預(yù)計的影響和困擾，但在軟件開發(fā)期間，通過使用靜態(tài)代碼分析技術(shù)可以幫助用戶減少30-70%的安全漏洞，不但提高代碼質(zhì)量，加強軟件自身安全，而且從長遠(yuǎn)來說是為網(wǎng)絡(luò)安全做好基礎(chǔ)工作。Wukong(悟空)靜態(tài)代碼檢測工具，從源碼開始，為您的軟件安全保駕護(hù)航!

參讀鏈接：

https://www.woocoom.com/b021.html?id=e4ceca42efee4f4988e91f5ec301f6d5

https://www.bleepingcomputer.com/news/security/us-farmer-cooperative-hit-by-59m-blackmatter-ransomware-attack/

https://www.inforisktoday.com/ransomware-reportedly-hits-iowa-farm-services-cooperative-a-17582

https://www.zdnet.com/article/iowa-farm-services-provider-hit-with-blackmatter-ransomware-and-5-9-million-ransom/