与俄罗斯有关联的 Rhysida 勒索软件团伙近日在暗网泄露了美国制造业巨头 Gemini Group 近 2TB 的敏感数据,北美洲员工与客户记录因此面临曝光风险。

Gemini Group总部位于密歇根州巴德阿克市,是一级供应商,在美国和墨西哥设有 18 个分支机构。公司现有员工 1400 余人,年营收达 3 亿美元。

该公司提供多种产品及服务,包括塑料挤出成型、吹塑成型,以及锻造和铝型材挤压用金属模具制造,其产品供应给汽车行业的主要企业。福特、丰田、通用汽车等主要汽车制造商均采用该集团的产品。

10月底,与俄罗斯有关联的 Rhysida 勒索软件团伙在暗网泄密网站发布声明,声称已窃取 Gemini Group 的重要数据。

勒索软件团伙常以泄露站点为施压手段,逼迫企业支付赎金。若谈判破裂,攻击者通常会将窃取的数据公之于众,供任何人下载。

Rhysida 团伙采用其常用策略,给予一周宽限期后,发布了一个 1.9TB 的数据集,据称包含该公司超过 170 万个文件。

暗网泄露数据详情

暗网公布的数据包括:

  • 实习生及其导师名单;

  • 员工薪资与休假余额文件,含全名、职位、入职日期、实发工资数额及休假天数;内部文件模板;

  • 客户名单,含公司名称、联系人全名及公司地址;各类发票和年度采购报告;

  • 健康保险文件,含供应商名称、服务内容、公司所用保险计划及相关费用;

  • 泄露的员工个人文件及照片,含个人身份信息(PII)、家庭住址、社会安全号码(SSNs)、出生日期及薪资详情等。

    暗网数据截图,图源:cybernews

    泄露敏感员工数据会使其面临身份盗窃、欺诈、社会工程学攻击风险,甚至可能遭遇人身安全威胁。

    Cybernews 研究团队解释称:“此次泄露可能会破坏员工对公司的信任,尤其是在公司未就此事完全透明化的情况下。公司还可能面临法律后果,失去客户信任,而曝光的财务细节可能导致竞争劣势。”

    Rhysida勒索团伙背景

    美国国防部最新资料显示,该团伙以“伺机而动”为行动准则,已渗透教育、医疗、制造及地方政府等多个领域。安全机构 Barracuda 研究人员指出,该组织可能源自俄罗斯或独联体国家。

    在近期攻击中,该团伙通过 Microsoft Teams、Zoom 和 PutTy 平台展开钓鱼攻击,利用恶意广告传播恶意软件,借员工账户渗透企业系统。

    据 Cybernews 暗网监测工具统计,自2023年5月活跃以来,该团伙已累计声称攻破236个目标。

    其罪行包括:

    • 9 月:宣称入侵美国马里兰州交通部,该部门运营着美国最大港口之一。泄露的数据样本包括护照、身份证、背景调查文件及其他敏感材料。

    • 8 月:攻击田纳西州和肯塔基州周边地区的库克维尔地区医疗中心,导致系统混乱。团伙发布了十余份含患者信息的数据样本,系统中断迫使 IT 团队全天候工作以恢复服务。

    • 5 月:宣称攻击秘鲁政府系统,该国官方网站管理着全国身份证登记信息,涵盖护照、税务记录、健康保险、警方档案、劳工记录等。秘鲁政府否认了此次勒索软件攻击。

    • 5月:宣称入侵巴西大型汽车经销商 Carrera,窃取的敏感数据包括护照和合同,团伙索要 100 万美元赎金。

    • 1 月:宣称入侵加拿大魁北克省蒙特利尔北区服务器,索要 100 万美元赎金。

    • 2024 年第四季度:以 100 枚比特币为赎金,攻击西雅图—塔科马国际机场,破坏关键系统并导致数周停运,使这一美国西海岸最繁忙的枢纽之一陷入瘫痪。达美航空、新加坡航空、阿拉斯加航空等被迫全面启用人工流程,开具手写登机牌。

    • 2024 年:宣称美国主流新闻媒体《华盛顿时报》为攻击目标,声称以 5 枚比特币的价格在网上拍卖该媒体的 “独家” 数据。

    转载请注明出处@安全威胁纵横,封面来源于网络;

    消息来源:https://cybernews.com/security/gemini-group-rhysida-data-leak/

    声明:本文来自安全威胁纵横,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。