回到顶部
据报道,近日马来西亚国家基建公司(Prasarana Malaysia Bhd)的内部系统被未经授权访问,导致大量数据泄露,泄露的数据量可能超过300GB。网络安全平台Falcon Feeds.io还在推特上发帖称,一家名为RansomHub的勒索软件组织威胁,若未按规定时间付款,将在6到7天内公布该国家基建公司的数据。
随后,马来西亚国家基建公司确认社交媒体上的相关报道属实。并且发表声明表示,此次事件并未影响公司的日常运营,公司正与网络安全专家合作,调查并缓解这一情况。此外马来西亚国家基建公司正在与国家网络安全局(Nacsa)和马来西亚网络安全机构(CyberSecurity Malaysia)紧密协调,以提供更加全面的紧急应对措施并保护公司相关的系统免受进一步威胁。
马来西亚国家基建公司是一家100%由马来西亚政府控股的国有企业,该公司由马来西亚财政部设立。它是马来西亚除全国交通集团(KTB)之外最大的公共交通公司之一。自1998年以来,该公司通过几家全资子公司经营着公共汽车和轻快铁,每个子公司会专门从事不同关键领域的业务,分别为快捷通轨道、快捷通巴士、国家基建管理和工程服务、国家基建综合发展、国家基建轨道和基础设施工程和国家基建综合解决方案和管理六个私人有限公司。在马来西亚的基础设施建设和运营领域发挥着重要作用,因此此次被网络攻击事件引起了广泛的公众关注。
RansomHub勒索软件组织是一个近期活跃且极具威胁性的网络犯罪集团,于2024年2月首次出现,并迅速在勒索软件生态系统中崛起。其攻击手段多样、受害者广泛且技术特点鲜明。据分析,RansomHub是由勒索软件Cyclops及Knight演变而来的勒索软件即服务(RaaS)变体。随着BlackCat/ALPHV与LockBit等勒索软件组织的垮台,不少合作伙伴转而投靠RansomHub,进一步壮大了其实力。
RansomHub通过多种手段入侵受害者系统,包括网络钓鱼攻击、利用已知漏洞(如Apache ActiveMQ、Atlassian Confluence等中的安全漏洞)、密码喷洒等。成功入侵后,RansomHub会在系统上创建可持续存在的用户账户,使用安全测试工具Mimikatz收集凭证,并将权限提升至管理权限。通过远程桌面协议等多种命令和控制方法,在网络内横向移动,窃取数据。RansomHub采用双重勒索模型,即加密系统和泄露数据来勒索受害者。它替受害者创建一个用户端ID,并通过特定的洋网址与受害者联系,要求受害者在规定时间内支付赎金,否则将外流所窃取的数据。
截至目前,RansomHub已成功攻击了至少210家受害者,受害领域广泛,包括水及废水、资讯技术、政府服务与设施、医疗保健及公共卫生、紧急服务、食品与农业、金融服务、制造、运输及关键基础设施等。据报道,精品拍卖企业佳士得、台湾笔记本代工企业蓝天计算机、美国医疗集团Change Healthcare,以及计划生育协会的Intermountain分支机构等都曾传出过遭到入侵的消息。
RansomHub不仅针对Windows、Linux计算机,还开始攻击VMware ESXi虚拟化环境。针对ESXi的勒索软件以C++开发,具备专门针对VMware虚拟化环境的功能,如删除快照、强制虚拟机关机、列出要加密的文件名单等。ESXi版RansomHub还具备抹除作案踪迹的能力,如停用ESXi的系统事件记录服务、加密文件完成后自我删除等。
目前事件仍在处理中,由于具体细节可能涉及敏感信息和法律程序,暂无最新的公开处理情况。但对于受害公司而言,面对勒索攻击时,应采取积极的应对措施,随着信息技术的飞速发展,网络攻击手段日益多样化和复杂化。因此,加强网络安全防护、提高数据保护能力已成为企业和机构必须面对的重要挑战。同时,也应与执法机构和网络安全专家保持密切合作,共同应对勒索攻击带来的挑战。未来,需要更加关注网络安全和数据保护问题,共同构建一个更加安全、可信的网络环境。