LockBit Gang 将发布 103GB 的曼谷航空客户数据 - 网安 - 专业的网络安全产业、社区、知识平台

一家自称为 DarkTracer 的暗网情报公司（显然是一家独立的英特尔公司，而不是更知名的 DarkTrace）在推特上发布了 LockBit 2.0 倒计时时钟的屏幕截图，截至周五，该时钟显示还剩四天半。“LockBit 勒索软件团伙已将曼谷航空公司列入受害者名单，”DarkTracer发推文说。“它宣布将发布 103GB 的压缩文件。”

[警报] LockBit 勒索软件团伙已将曼谷航空公司列入受害者名单。它宣布将发布 103GB 的压缩文件。pic.twitter.com/LT2C0Eixn
— DarkTracer：DarkWeb 犯罪情报 (@darktracer_int) ，2021 年 8 月 25 日

一天前，也就是周四，曼谷航空公司公开承认它在一周前，即 8 月 23 日星期一遭到网络攻击。该公司在一份新闻稿中表示，它仍在“紧急处理”这起事件。，并正在努力加强其防御。

“在发现此类事件后，该公司立即采取行动，在网络安全团队的协助下调查并遏制该事件。目前，该公司正在紧急进行调查，核实泄露的数据和受影响的乘客，并采取相关措施加强其IT系统。” ——曼谷航空新闻稿

到目前为止，属于乘客的受影响个人数据似乎包括：

乘客姓名
姓
国籍
性别
电话号码
电子邮件地址
其他联系方式
护照信息
历史旅游信息
部分信用卡信息
特别餐信息

该公司表示，攻击者显然无法访问曼谷航空公司的运营或航空安全系统。该公司道歉称，“曼谷航空公共有限公司非常重视保护乘客数据，对于此次恶意事件造成的担忧和不便，航空公司深表歉意。”

该航空公司表示已通知有关当局，包括泰国皇家警察。

锁位 2.0

LockBit 2.0 类似于它的勒索软件即服务 (RaaS) 兄弟 DarkSide 和 REvil：就像其他操作一样。LockBit 使用附属模式出租其勒索软件平台，从由此产生的任何赎金中抽取一部分。

在DarkSide和REvil都关闭运营之后，该团伙继续疯狂招聘，在受感染的系统上张贴墙纸，其中包括邀请内部人员帮助破坏系统的文本，并承诺支付数百万美元。

本月早些时候，LockBit 攻击了埃森哲，这是一家全球商业咨询公司，对一些世界上最大、最有影响力的公司有内幕追踪。

当时，Cyble 研究人员在推文流中建议埃森哲攻击可能是内部人员的工作。“我们知道#LockBit #threatactor 一直在雇佣企业员工来访问他们目标的网络，”他们在推特上写道，同时还有一个时钟在倒计时埃森哲还剩多少时间来支付赎金。

根据趋势科技两周前发布的一份报告，7 月和 8 月的攻击采用了 LockBit 2.0 勒索软件，该勒索软件具有增强的加密方法。

Threatpost 已与 DarkTracer 联系以获取更多详细信息和更新，并已联系 DarkTrace 以了解有关其近乎同名的更多信息。我们还联系了曼谷航空公司以了解更多详细信息，包括是否要求赎金，该公司是否已经弄清楚有多少客户受到了违规行为的影响，以及它是否计划提供身份盗用保护。

当心网络钓鱼企图

曼谷航空公司建议乘客尽快联系他们的银行或信用卡提供商并更改任何泄露的密码。此外，它还建议乘客留意可疑或未经请求的电话和/或电子邮件——尤其是声称来自曼谷航空公司并试图收集个人数据的网络钓鱼企图。

它说，曼谷航空公司不会联系客户询问支付卡详细信息等。如果乘客遇到此类网络钓鱼企图，曼谷航空公司表示，他们应该向执法部门和航空公司报告，地址为：

免费电话 1-800-010-171（泰国境内）上午 8 点至下午 5:30（泰国当地时间）
收费电话 800-8100-6688（海外）上午 8 点至下午 5:30（泰国当地时间）
电子邮件：infosecurity@bangkokair.com

Step Numero Uno：识别入口点

托管检测和响应 (MDR) 服务提供商 CRITICALSTART 的专业服务总监 Quentin Rhoads-Herrera 观察到，在通知多个不同国家/地区的受影响客户时，曼谷航空公司面临着一项艰巨的任务。一个复杂的事实是，它需要不同的监管机构来监督各种法规——例如，通用数据保护条例(GDPR) 规则。

“曼谷航空需要做的主要事情是确定 LockBit 使用的入口点，”Rhoads-Herrera 周一向 Threatpost 观察到。“如果 LockBit 集团由于未打补丁的面向外部的系统而能够进入，那么他们不仅需要评估他们当前的外部风险，还需要改进他们的整体资产库存和补丁管理流程，以确保系统经常更新. 了解犯罪分子最初进入的方式对于确保未来不会发生这种情况至关重要。”

他强调，曼谷航空公司还需要了解 LockBit 曾经在内部所做的一切，以确保它加强防御，并对类似的未来活动发出警报。“只要有足够的决心，任何罪犯都可以破坏公司，”Rhoads-Herrera 通过电子邮件评论道。“这就是为什么组织努力缩短检测和响应时间以限制此类违规行为的损失非常重要的原因。”

BHe 还指出 - 假设这是一次勒索软件攻击 - 再加上泄露数据的威胁这一事实使其成为双重勒索攻击，其中瘫痪系统的伤害因受到威胁的信息泄露而加剧。

他指出，更有理由测试备份基础设施：“非常重要的是，组织不仅要保护他们的备份基础设施，以便在发生破坏后能够恢复，而且还要保护最重要的数据，并对离开其基础设施的大数据发出警报。在这种情况下，LockBit 获得的数据可用于向曼谷航空公司勒索额外的加密货币，或者他们可以将其发布为破坏曼谷航空公司品牌的一种方式，同时作为犯罪组织而臭名昭著。”