文章来源:红数位
澳大利亚州政府昨天披露,上个月一家外部薪资软件提供商的系统遭到勒索软件攻击后,隶属南澳大利亚州政府数万名员工的敏感个人信息遭到泄露。
这属于又一起供应链攻击,此前REvil勒索在针对Kaseya VSA供应链海啸攻击中成功间接袭击了几百家公司,但这次受害者直接是政府信息层面。
黑客访问的记录数量相当于至少38000名南澳大利亚州政府雇员,但据南澳大利亚州财长卢卡斯(Rob Lucas)称,可能高达80000人。
此次数据泄露背后的被泄露公司是Frontier Software,该公司于2021年11月13日遭受勒索软件攻击。Frontier Software成立于1983 年,是提供全球人力资源和薪资软件解决方案的公认领导者。
根据该公司对该事件的声明,威胁并未通过其产品转移到客户端系统,数据泄露仅影响特定的分段环境。该公司表示:“Frontier Software和CyberCX正在进行的取证调查和其他响应活动现已证实,Frontier Software的澳大利亚内部企业环境中有一些数据泄露的证据。” “我们还没有发现在这个分段环境之外的入侵或渗漏的证据。”
根据澳大利亚州政府的说法,已泄露的数据包括以下内容:
名
姓
出生日期
税号
家庭地址
银行账户明细
就业开始日期
发薪期
薪资
预扣税款
付款类型(如存在)
一次性付款类型和金额(如存在)
退休金款项
可申报的附加福利税额(如存在)
唯一没有受到事件影响的公共实体是南澳大利亚州教育部,因为教育部不使用Frontier产品。卢卡斯在披露数据泄露后告诉外媒:“除了教师和教育部之外,最高层到最低层以及我们中间的所有其他人都可能受到影响 。”
澳政府网站上的事件公告中的说明
“拥有银行帐户详细信息并不能让您访问银行帐户,但这是尝试破解密码的第一步。“我们希望州政府采取一切可能的措施来审查其网络安全措施,以防止将来发生此类事件。”建议受此事件影响的政府雇员谨慎对待收到的电子邮件、电话和短信。此外,每个人都应该重置密码并在可能的情况下激活双因素身份验证。受影响的个人应密切监控银行对账单和账户活动,并向当局报告任何可疑交易。
Conti勒索团队为幕后黑手
在Conti勒索软件的数据泄漏门户网站上曾在2021年11月16日发布公告,该公告与Frontier Software在其声明中共享的攻击详细信息相符。
但是,该列表已从Conti泄漏门户中删除,这可能意味着谈判已经结束,很大可能性澳大利亚政府支付了勒索赎金。
Conti是一项长期存在的勒索软件即服务 (RaaS) 业务,即使在针对爱尔兰卫生部等重要国家资源的高调事件之后,仍然设法逃避起诉。
澳大利亚政府对Conti勒索软件攻击发出警告
澳大利亚网络安全中心 (ACSC) 昨天表示,自去年11月以来,Conti勒索软件攻击已针对来自各个行业垂直领域的多个澳大利亚组织。
“ACSC了解到澳大利亚组织在2021年11月和12月受到Conti勒索软件影响的多个实例。
这一活动发生在多个部门。受害者收到了支付赎金的要求,”澳大利亚网络安全机构在昨天发布的安全公告中警告说。
“除了数据加密以及随后对组织正常运营能力的影响之外,受害者在勒索软件参与者发布的事件中还窃取了数据,包括个人身份信息 (PII)。”
该警告是在11月针对澳大利亚电力供应商CS Energy的企业ICT网络的勒索软件攻击之后发出的。然而,正如CS Energy首席执行官安德鲁比尔斯透露的那样,该公司没有“发现网络事件是基于国家的攻击的迹象”。
Conti勒索软件团伙于11月27日声称发动了这次攻击,当时这家澳大利亚能源供应商发现了此次入侵。Conti尚未泄露从CS Energy窃取的任何文件。
ACSC还发布了一份勒索软件配置文件,其中包含有关Conti团伙的其他信息,包括初始访问指标、目标部门和缓解措施。
该机构补充说:“参与部署Conti勒索软件的威胁行为者经常改变攻击模式,并在网络所有者能够应用补丁或缓解措施之前,迅速利用新披露的漏洞在网络中进行破坏和操作。”
“已经观察到Conti附属公司针对关键部门的实体,特别是包括医疗保健组织。2021年,Conti声称已在其TOR站点上破坏了全球至少500个组织。”
ACSC提供侧重于Conti TTP(战术、技术和程序)的缓解措施,包括:
启用多因素身份验证 (MFA) 以阻止使用被盗凭据
加密静态敏感数据以阻止敏感信息泄露
分割公司网络并限制管理员权限以阻止权限提升尝试和横向移动
维护每日备份以减少攻击的影响
该机构此前曾警告称, 从2021年7月开始,针对澳大利亚组织的LockBit 2.0勒索软件攻击将有所增加。
多一个点在看
多一条小鱼干