欧洲能源巨头遭勒索，用1000万欧元换10TB数据？

抖圈为赌而生

工业互联网宁静专题 > 宁静资讯

欧洲能源巨头遭勒索，用1000万欧元换10TB数据？

作者：Sandra1432 2020-04-15

近日，攻击者利用Ragnar Locker勒索软件袭击了葡萄牙跨国能源公司EDP（Energias de Portugal），而且索要1580的比特币赎金（折合约1090万美元/990万欧元）。对此，EDP尚未作出回复。

EDP集团是欧洲能源行业（天然气和电力）最大的运营商之一，也是世界第四大风能生产商。该公司在全球四个大洲的19个国家/地域拥有业务，拥有凌驾11500名员工，并为凌驾1100万客户提供能源。

攻击者扬言“撕票”10TB的窃密数据

在这次攻击过程中，Ragnar Locker勒索软件的幕后黑手声称已经获取了公司10TB的敏感数据文件，如果EDP不支付赎金，那么他们将在果然泄露这些数据。

据Ragnar的泄密网站说到：

我们已经下载了EDP组织服务器10TB的私密信息。作为证据，我们提供了一些你方企业网络中下载的文件截屏！现在这个帖子只是临时，但是如果你们不支付赎金，这也会成为永久性的页面！我们将在各大知名报社、媒体、博客果然这些文件资料，而且见告你们的客户、合作伙伴和竞争对手，所以这些文件是机密还是果然完全取决于你们！

Ragnar 网站的威胁通知

其中，攻击者泄露了部门文件来警告EDP，包罗一个edpradmin2.kdb的文件，这是KeePass密码管理数据库。当点开这个泄露文件的链接，会直接导出EDP员工的登录名、密码、帐户、URLS以及注释。

MalwareHunter团队发现了这次勒索软件的攻击样本，并找到赎金记录和Tor付款页面，攻击者在其中详细描述了解密过程和勒索金额。

凭据EDP加密系统上的赎金记录，攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。

赎金说明说：“并确保，如果您不付款，所有文件和文档将被宣布给所有人检察，而且我们将通过直接链接通知所有客户和合作伙伴有关这次泄漏的信息。”

图片来自推特

所以如果你们不想名声受损，最好尽快按要求支付赎金。

攻击者在即时窗口中讥笑EDP

Ragnar Locker勒索软件背后的利用者还在通过“客服窗口”和EDP进行实时聊天，要求他们检查公司网站关于这个泄密威胁的通知，并询问公司是否愿意看到企业私人信息泛起在快讯、技术博客和股市网站上。

他们还增补道“时不待人”，还警告EDP不要实验使用除Ragnar Locker以外的解密器来破解文件，否则将有数据破坏和丢失的风险。

攻击者还讥讽EDP如果在系统加密两天后联系他们，能够享受优惠价格。但是，他们也要等着，勒索软件的即时聊天也不会全天候在线。

截止发文，EDP公司对此尚未置评。

Ragnar Locker加密过程

Ragnar Locker勒索软件在2019年12月底首次被发现，专门针对托管服务提供商（MSP）的常用软件，来入侵网络窃取数据文件。

MSP宁静公司Huntress Labs的首席执行官Kyle Hanslovan在2月说到，他的公司发现Ragnar Locker通过MSP软件ConnectWise进行了部署。

经过侦察和部署前阶段，攻击者构建针对性强的勒索软件可执行文件，该可执行文件为加密文件添加了特定的扩展名，具有嵌入式RSA-2048密钥，并加入自界说勒索票据。

Ragnar Locker具有多次的赎金记录，赎金记录包罗受害者的公司名称、Tor站点的链接以及包罗受害者已宣布数据的数据泄漏站点，赎金范围从20万美元到约莫60万美元不等。

SentinelLabs对这种勒索病毒进行分析，卖力人Vitali Kremez提及，Ragnar Locker首次启动时将检查配置的Windows语言首选项，如果将它们设置为前苏联国家之一，则会终止该过程而且差池计算机进行加密。如果受害者通过了此检查，则勒索软件将停止上一节中所述的种种Windows服务。

现在已经准备好对计算机进行加密，Ragnar Locker将开始对计算机上的文件进行加密。

加密文件时，它将跳过以下文件夹、文件名和扩展名中的文件：

kernel32.dll

Windows

Windows.old

Tor browser

Internet Explorer

Google

Opera

Opera Software

Mozilla

Mozilla Firefox

$Recycle.Bin

ProgramData

All Users

autorun.inf

boot.ini

bootfont.bin

bootsect.bak

bootmgr

bootmgr.efi

bootmgfw.efi

desktop.ini

iconcache.db

ntldr

ntuser.dat

ntuser.dat.log

ntuser.ini

thumbs.db

.sys

.dll

.lnk

.msi

.drv

.exe

对于每个加密文件，文件名后都市添加一个预配置的扩展名，如.ragnar_22015ABC 。如下所示，“ RAGNAR”文件标志也将添加到每个加密文件的末尾。

加密文件标志

最后，将创建一个名为.RGNR_ [extension] .txt的赎金票据，其中包罗有关受害者文件发生了什么情况、赎金金额、比特币支付地址、与攻击者进行通信的TOX聊天ID等信息，如果TOX则用备份的电子邮件地址。

Ragnar Locker勒索票据

目前针对Ragnar Locker勒索软件加密文件尚无法解密，后续本文将连续跟进。

（转载来自：FreeBuf.com）

快速链接

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

工业互联网宁静专题

欧洲能源巨头遭勒索，用1000万欧元换10TB数据？

作者：Sandra1432 2020-04-15

快速链接

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线

软件升级

投资者关系

工业互联网宁静专题

欧洲能源巨头遭勒索，用1000万欧元换10TB数据？

作者：Sandra1432 2020-04-15

快速链接

7*24小时服务热线

欧洲能源巨头遭勒索，用1000万欧元换10TB数据？