Akira 勒索病毒团伙攻击 BHI Energy 数据泄露

关键要点

Akira 勒索病毒团伙从 BHI Energy 网络窃取了690GB的数据，包括超过91000个个人的信息。攻击者通过遭到破坏的第三方承包商的用户帐户获取了初始访问权限。BHI Energy 成功避免了部分系统被加密，但被窃取的数据的命运仍不明朗。公司已采取措施增强安全性，并通知所有受影响的个人，提供两年免费身份盗窃检测与解决服务。

BHI Energy 最近遭受到 Akira 勒索病毒团伙的攻击，黑客在整整一个月的时间里从公司的网络中收集并提取了多达690GB的数据，这些数据包含了91000多人的个人信息。有关此次黑客攻击的详细信息在一份发送给爱荷华州检察长办公室及其他州监管机构的律师信中列出，信中披露了数据泄露事件。

攻击团伙通过一个受损的用户帐户，利用 VPN 连接首次访问了 BHI Energy。尽管 BHI Energy 成功阻止了 Akira 加密网络部分区域的尝试，但被窃数据的下落仍然不明。

BHI Energy 的总部位于马萨诸塞州的韦茅斯，是西屋电气公司的子公司，专注于为能源领域提供服务和人员解决方案。

Akira 团伙中有一些成员曾参与过强大的 Conti 勒索病毒团伙，而 Conti 于2022年解散。

律师信中提供的关于事件的详细信息比大多数组织在网络攻击后披露的信息要多，Uptycs 的检测和响应主管 Josh Lemon 称之为积极的发展。

“提供关于泄露的详细程度是一个可喜的变化，并且是朝着提高 BHI Energy 知晓事件全面范围的信心迈进的一步，即使某些细节对 BHI Energy 并不有利，”他说。

黑洞加速器

“更重要的是，越来越多的组织应提供这种详细信息，以便向客户保持透明，并提供事件细节已被彻底了解的信心。”

BHI 网络攻击时间线

根据律师信，Akira 于5月30日首次获得访问权限。接下来的一个星期，攻击者利用同一受损账户在网络上进行侦察。

Akira 在6月16日再次进行侦察，并于6月18日开始整理数据。690GB 的数据提取，包括 BHI 的 Active Directory 数据库，发生在6月20日至6月29日之间。

在完成提取的同一天，黑客将 Akira 的勒索病毒部署到了网络的“部分系统”上。在6月29日，BHI 的 IT 团队发现网络中的数据已被加密，并采取措施隔离受影响的系统、阻止传播，最终驱逐攻击者。

“由于公司的云备份解决方案未受到影响，BHI 成功地在不需要从威胁行为者那里获取勒索病毒解密工具的情况下恢复了系统中的数据，”披露信中说道。

点击了解更多特别报道

Lemon 表示，Akira 完成数据收集和提取所花费的30天时间比大多数勒索病毒团伙更长。

他补充说，攻击者在网络上横向移动以获取域级凭证的近17天时间也是威胁行为者花费在执行这些任务上的相对较长时间。

BHI 正在联系受影响的个人

根据律师的信，BHI 在大约7月7日清除了网络中的威胁。

在事件之后，公司采取了一系列措施以提高安全性，包括扩展终端检测和响应EDR及杀毒软件的部署，执行企业级密码重置，退役旧有和未使用的系统，并为远程访问 VPN 实施多因素身份验证。

由于 VPN 可能存在安全风险，许多组织正在降低对 VPN 的依赖。在一起著名的案例中，黑客通过受损的 VPN 获得初始访问权限，便是[2021 年的 Colonial