起亚汽车遭受 DoppelPayme 双重勒索攻击，索要 2000 万美元赎金

DoppelPayme勒索软件团伙声称对起亚的停机负责，要求进行2000万美元的双重勒索攻击。

到目前为止，起亚汽车美国公司已经公开承认“系统扩展中断”，但勒索软件帮派DoppelPaymer声称已将其文件锁定在一次网络攻击中，其中包括2000万美元的赎金需求。

2000万美元将使起亚获得一台解密器，并保证不会在该团伙的泄漏站点上发布敏感数据。

DoppelPaymer的赎金记录最初由BleepingComputer发布，袭击针对的是现代汽车美国公司(Hyundai Motor America)，该公司位于加利福尼亚州尔湾。该公司还需要两到三周的时间才能付款404比特币，截至撰写本文时约为2000万美元。为了增加紧迫感，威胁行动者警告说，延迟付款可能会导致赎金提高到3000万美元。

该公司在一份声明中对媒体说：“断电影响了起亚的移动应用程序，例如带有UVO Link的Kia Access，UVO eServices和Kia Connect以及自助门户和客户支持。”起亚受到“勒索软件”攻击。目前，我们可以确认我们没有证据表明起亚或任何起亚数据都受到“勒索软件”攻击。”

起亚告诉Threatpost，UVO应用程序和所有者的门户现在可以运行了，并补充说，仍然没有迹象表明存在勒索软件攻击。

起亚客户被冷落

起亚没有透露有关中断原因的详细信息，但起亚的客户已经注意到并正在社交媒体上尝试寻找答案。

周末，社交媒体上的帖子描述了起亚客户的停电后果，尤其是在极端冬季天气中，由于应用程序关闭而无法访问汽车远程启动等功能的客户。

Twitter用户@ big2mo在2月13日写道： “一年中最冷的一天，我的#kia #uvo应用程序无法正常工作。” “服务器没有响应。”

2月15日，起亚汽车(Kia Motors)的账户回应了这一含糊的道歉，但没有太多细节。2月13日，第一批停电报道开始浮出水面。

很抱歉，服务器出现问题，可能会影响您登录UVO应用或发送命令的能力。我们正在努力尽快解决它。将尽快提供更新。感谢您的耐心等待。

-起亚汽车美国公司（@Kia）2021年2月15日

Nozomi Networks的联合创始人Andrea Carcano说，这类勒索软件攻击正变得司空见惯，这与他所见过的其他DopplePaymer攻击很像。

Carcano说：“当DoppelPaymer和其他公司瞄准大型组织并破坏其关键IT运营时，它们的利润将大大提高-在这种情况下，起亚的移动UVO Link应用程序，支付系统，所有者的门户网站和内部经销网站就可以使用。”

KnowBe4的Erich Kron解释说，像DoppelPaymer这样的组织是专家，他们正在弄清楚如何使受害者最痛苦，以使他们付钱。

“在这种情况下，攻击已影响到许多重要的IT系统，包括客户用来运送新购买的车辆所需的系统。这可能会使组织付出大量金钱，并损害现有和潜在客户的声誉。” Kron说。

双重敲诈勒索

勒索软件威胁参与者除了阻碍关键操作外，还学会了如何增加对公司的压力，威胁说如果他们不迅速付款，他们最敏感的被盗数据可能会在知名的泄漏站点上暴露。这种策略被称为双重勒索。

“就像许多现代勒索软件一样，DoppelPaymer不仅削弱了组织开展业务的能力，而且还提取了敏感数据用于对受害者施加杠杆作用，以使他们支付赎金，” Kron解释说。“不幸的是，除了极少数例外，一旦数据离开组织，就会发生数据泄露，因此，组织将受到监管和其他罚款。即使这些数据未公开发布，也很可能最终会出售或在暗网上进行交易。”

Kron补充说，这些漏洞最常发生在社交设计的攻击中，例如鱼叉攻击。

他说：“与大多数其他勒索软件一样，DoppelPaymer通常通过网络钓鱼电子邮件进行传播，因此组织应确保对员工进行培训，以发现并报告可用于攻击它们的可疑电子邮件。” “将持续的培训与定期的模拟网络钓鱼测试相结合，对于使员工为抵御这些类型的攻击做好准备非常有效。”

但是，除了扩大对员工的网络安全培训之外，Comfort AG的产品经理Trevor Morgan建议起亚这样的公司采取措施，在发生泄露之前保护其最敏感的数据。

Morgan说：“具有讽刺意味的是，企业只需采取以数据为中心的方法来保护敏感信息，就可以避免泄露被劫持数据的威胁。” “通过使用令牌化或保留格式的加密，企业可以混淆其数据生态系统中的任何敏感数据，无论谁有权访问它，都将使其变得难以理解。这些报告都应被视为警示，因为如果没有适当的以数据为中心的方法，企业可能会发现自己陷入困境。”