法国IT外承包商Sopra Steria本周发生网络攻击事件,凶手可能是恶名昭彰的Ryuk勒索程序。
Sopra Steria本周公告指出,他们于周二(10/20)晚间侦测到IT网络发生网络攻击,已经采取控制安全风险的措施。该公司的安全团队正致力于恢复正常运行,同时也和客户、伙伴及主管机关“保持密切联系”。
Sopra Steria并未说明网络攻击细节,不过法国媒体引述消息人士报道,指称Sopra Steria遭到勒索软件Ryuk攻击。据信攻击者黑入了这家IT外承包商的AD域名,至少加密了“一部分”信息系统。
Sopra Steria也和英国卫生部及卫服部(NHS)合资成立NHS Business Services,管理NHS 350亿英镑的经费,主要业务为提供IT服务给英国卫生机构、外承包商及英国大众。NHS Business Services是否受到影响目前不得而知。
Ryuk是由一代号为Wizard Spider的俄罗斯黑客组织操控,从2018年起在网络上流传,经常锁定大型企业、地方政府及医疗机构,并成为2019年为害最烈的勒索软件。Ryuk也和最近遭到安全厂商及微软出手扫荡的Trickbot有关。
安全公司Sophos指出,在经过2020年短暂歇息后,Ryuk近日又死灰复燃,且手法更加高明,像是不再依赖第三方网络传播,而是经由钓鱼邮件传播,且一旦进入用户计算机,也会搜集管理员帐密以加速感染内网的重要系统。安全公司数据显示Ryuk新一波攻击速度加快,从用户点入钓鱼信件到瘫痪整个系统,只要29小时就能完成。
Ryuk上个月也攻击全美最大的医院连锁UHS,影响亚利桑纳州、加州、乔治亚、宾州、佛州等地医院,至少有一家医院急诊室被迫关闭,并将病患送到别的医院。