作为全球最大的自动化工具生产商之一Pilz在遭受勒索软件感染后已经停产了一个多星期。

这家总部位于德国的公司在其网站上写道:“自2019年10月13日(星期日)起,所有服务器和PC工作站,包括该公司的通信,都已在全球范围内受到影响。”

“为预防起见,该公司已从网络中删除了所有计算机系统,并阻止了对公司网络的访问。”

公司在76个国家/地区的所有地点均受到影响,并且与主要网络断开连接,无法提交订单和检查客户状态。

Pilz员工花了三天时间才能恢复对其电子邮件服务的访问权限,而又花了三天时间才能恢复其国际位置的电子邮件服务。直到今天才恢复对产品订单和交货系统的访问。

生产能力没有受到影响,但是无法检查订单,它们受到了阻碍,并且生产速度较慢。

目前未有相关损失公布和报道,目前该公司官网不可访问,仅留一个消息页面对外:

https://www.pilz.com/message.html

怪罪的BITPAYMER

FoxIT 首席情报分析师Maarten van Dantzig今天对媒体表示,这家德国公司以其自动化继电器,控制器和传感器而闻名,是众多BitPaymer受害者中最新的一家。

Van Dantzig找到并分析了VirusTotal上载的BitPaymer样本后,便能够将Pilz感染与BitPaymer关联。该样本包含赎金记录,其中包含针对Pilz的联系详细信息,并针对该公司的网络进行了定制。

BitPaymer是勒索应变出现在夏天的2017年,在已被捆绑到几个高知名度的事件苏格兰医院,在PGA,阿拉斯加小镇(马塔努斯卡-苏西特纳和巴尔德斯),亚利桑那饮料,在攻击利用iTunes的零当天,最近一次是在法国M6电视台。

法国最大电视台之一M6遭勒索软件攻击:播出未受影响

但是,BitPaymer不是您经常遇到的勒索软件。BitPaymer的作者从事所谓的“大型游戏狩猎”,这是Crowdstrike创造的术语,它描述了只追求高价值目标的行为-希望提取大笔赎金,而不是勒索家庭消费者获取微薄的利润。

BITPAYMER的DRIDEX合作伙伴

van Dantzig告诉媒体,在过去两年中,BitPaymer仅通过Dridex僵尸网络进行分发。

ESET在2018年1月发布的一份报告称,勒索软件是Dridex作者自己的作品。

当前,大多数专家认为,Dridex帮派花费时间发送垃圾邮件,用Dridex特洛伊木马感染用户,编制受害者列表,然后在大型公司网络上部署BitPaymer,以期在加密文件后提取巨额赎金。。

从历史上看,这种策略非常有利可图,BitPaymer与勒索软件的需求高达100万美元挂钩,Van Dantzig 今天在电话中告诉ZDNet。

如今,这种僵尸网络与勒索软件合作伙伴关系的网络犯罪模型非常流行。Emotet和TrickBot僵尸网络的运营商与Ryuk勒索软件帮派之间也存在类似的“工作关系”。

自今年四月以来活动激增

您可以在下表中轻松看到BitPaymer的作案手法,其中包括提交给ID-Ransomware的文件,该软件是由MalwareHunterTeam和Emsisoft赞助的在线服务,勒索软件的受害者可以在其中上传样本并检测被感染的勒索软件的类型。

BitPaymer在过去12个月内提交给ID-勒索软件

大多数ID勒索软件活动图表都很流畅,因为每天都有受害者打开的邮件,这些受害者在打开电子邮件或安装被勒索软件感染的文件后被感染。

但是,对于BitPaymer,这是不同的。由于勒索软件部署在精心挑选的少数目标上,而不是向各个方向扩散,因此峰值表明偶发感染。此模式特定于“大型游戏”勒索软件操作。

Van Dantzig说,公司必须了解,一旦从BitPaymer感染中恢复过来,他们的工作还没有完成,系统管理员还必须从受感染的主机中删除Dridex木马,否则它们将再次受到感染。

声明:本文来自红数位,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。