【最衰企業】Toll Group 三個月兩度遇勒索病毒,IT 系統緊急全關閉

澳洲物流業者 Toll Group 三個月內二度遭勒索病毒攻擊,而此次勒索病毒又是 Nemty 演變而來的新一代 Nefilim 病毒。

2 月才遇 MailTo 病毒,千台主機被感染

Toll Group 是一家全球物流公司,提供貨運、倉儲和配送服務。 Toll 員工規模全球大約有 40,000 名,並在 50 多個國家、地區設有辦事地點。先前 2 月 3 日時  Toll Group 就曾遭惡意病毒 MailTo 勒索病毒攻擊,甚至緊急於 Twitter 上發布暫時停用許多 IT 系統的消息。

據電腦安全公司 Carbon Black 解釋, MailTo 也被稱為 Netwalker,是一款典型的勒索病毒,甚至沒有試圖隱藏,會在感染時立刻將文件加密。

瞄準企業網路的 Mailto 病毒在 2020 年 1 月 31 日公司 Toll Group 的公司網路,加密連接至公司網路的所有 Windows 設備, 高達 1000 台主機被感染,導致該公司關閉許多 IT 系統。

臺灣網路危機處理專家分析病毒如何攻擊

對此,臺灣學術網路危機處理中心團隊也於 2 月提出 MailTo 勒索病毒的研究分析報告,說明病毒主要攻擊對象為企業網路,並解釋病毒如何攻擊、作用,最後也提出預防措施,供企業參考。

臺灣學術網路危機處理中心團隊研究報告 傳送門

然而在好不容易解決第一個勒索病毒感染並恢復正常運作後。5 月初又傳 Toll Group 遭新型勒索病毒攻擊,這款病毒是三月被 Vitali Kremez 發現,從 Nemty 演變而來的新一代 Nefilim 病毒。

態度強硬不妥協,Toll Group:目前尚無明確損失

根據 資安趨勢 報導指出,雖然目前並無資料顯示 Nemty 和 Netfilim 是同一集團所為。但 Netfilim 可能跟大部分勒索病毒一樣,是利用暴露在外的遠端桌面(RDP)連接埠進行散播。同時會使用 AES-128 加密來鎖定文件,在盜走企業資料後,藉由公布機密資訊作為理由來勒索企業。

這些被加密的文件、檔案除了會被插入「NEFILIM」字樣,副檔名還會被變更(編按:如「.jpg」變為「.jpg.NEFILIM」)。在感染病毒後企業若想解密這些被加密的文件,Nefilim 會採電子郵件來收受贖金。

而 Toll Group 在此次事件中態度強硬,表示並不打算滿足駭客的任何贖金要求,並且在現階段也尚無證據表明,駭客是否已經盜走任何數據、資料。目前 Toll Group 暫時將 MyToll 追蹤貨運狀態服務關閉,其餘工作正常。

(本文提供合作夥伴轉載,首圖來源:Toll Group

參考資料

Logistics giant Toll Group hit by ransomware for the second time in three months
Nefilim Ransomware Threatens to Expose Stolen Data
勒索病毒 Mailto 分析報告 – 臺灣學術網路危機處理中心團隊

你可能感興趣

比「WannaCry」更難搞的勒索病毒「WannaRen」在中國爆發
【線上開個會還要被偷聽?】Zoom 說不清的中國背景,讓用戶擔憂資安
【數位轉型卡關的 IT 指南】上雲迷思查核室:資料放雲端,資安與成本控管會不會更難做?


《TO》品牌活動「CONNECT」登場!

本周主打「Marketing Intelligence」專題,看企業如何激發數據無限錢力! 馬上報名 獲取最新深度報導。    

點關鍵字看更多相關文章: