8月28日,曼谷航空公共有限公司宣布,该航空公司于8月23日遭到LockBit软件勒索团伙的攻击,导致公司的内部数据在非法和未经授权的情况下泄露。事件发生之后,公司立即与网络安全专家合作,核实损坏的数据和受影响的乘客,将采取其他相关措施加强公司信息系统建设。
曼谷航空在新闻稿中表示,“对事件的初步调查似乎表明,已经有部分乘客的个人数据遭到窃取,包括乘客姓名、国籍、性别、电话号码、电子邮件、居住地址、联系信息、护照信息、历史旅行信息、部分信用卡信息以及特殊饮食信息等。但我司确认,此次事件并未影响曼谷航空公司的运营或航空安全系统。本起事件已被上报至泰国皇家警方,也已经向有关当局做出通报。”
曼谷航空公司对广大用户的建议如下:
目前该公司已向泰国皇家警察和相关机构报告,为了达到预防效果,建议乘客联系其银行或信用卡提供商,更改任何可能受影响的密码。另外,要小心电话诈骗,包括可疑电子邮件,不法分子可能会谎称是曼谷航空公司,骗取客户的银行卡和信用卡信息,如果发生这样的事件,请乘客们立即采取法律行动,向警方报案。
LockBit勒索软件团伙也在泄密网站上发布消息,宣称已经成功入侵曼谷航空,并窃取了超过200GB的数据,同时威胁对方若不支付赎金则会泄露被盗数据。LockBit勒索软件团伙还在泄密网站上嘲讽,曼谷航空的安全实施工作低效低能,还说曼谷航空虽然总是强调「我们会严格保护乘客隐私」,但他们的所有系统和域管理员都在使用「P@ssw0rd」作为密码。
LockBit病毒简介
LockBit 家族的首次攻击大概出现在2019年的下半年。在传播方式上,LockBit 家族采用自动化的传播方式。执行后,会发送ARP请求,判断其他的设备,并使用SMB协议连接以进行传播。LockBit的主要攻击目标为政府和企业,不过 LockBit 家族会尽量避免去攻击俄罗斯等独联体国家。
在 LockBit 初期,运营商一直再寻找更好的方式来增加收益。随着 Maze 和 REvil 勒索团伙的带动下,LockBit 勒索软件运营商也建立了属于自己的数据泄露网站。LockBit家族也渐渐在业内名声大噪。
勒索病毒预防建议
勒索病毒就像绝症一样,一定要有效防范。如果不幸中招的话,损失钱财是小,关键数据丢失或被公布才是大事。因此,各企业机构需注意日常防范措施,做到未雨而绸缪,防止临渴而掘井。
(1)对重要的数据文件定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。
(2)及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
(3)尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
(4)不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
(5)应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不再使用的账户。
(6)尽量关闭不必要的文件共享。
(7)提高安全运维人员职业素养,定期进行木马病毒查杀。
(8)安装诺亚防勒索软件,防御未知勒索病毒。
美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对LockBit勒索病毒的防护效果。
美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。
无诺亚防勒索防护的情况下:
在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加“.lockbit”加密后缀,并且无法正常打开。
开启诺亚防勒索的情况下:
查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。
开启堡垒模式的情况下:
为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。
运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何已知或未知勒索病毒的执行。
浙公网安备 33010502006954号 
