埃森哲發(fā)送了一份內部備忘錄，確認攻擊者在7月30日的“事件”中竊取了客戶信息和工作材料。

　　CyberScoop報告稱，該備忘錄淡化了勒索軟件攻擊的影響。該媒體引用了埃森哲的內部備忘錄：“雖然肇事者能夠獲得某些涉及少數客戶的文件和我們?yōu)榭蛻魷蕚涞哪承┕ぷ鞑牧?，但這些信息都不是高度敏感的?！盩hreatpost已致電希望埃森哲對CyberScoop的報告發(fā)表評論。

　　本周早些時候，LockBit勒索軟件即服務（RaaS）團伙公布了埃森哲（Accenture）的名字和標識，該公司現已被證實是最新的受害者之一。埃森哲是一家全球商業(yè)咨詢公司，掌握著一些世界上最大、最有影響力的公司的內部信息。

　　埃森哲的客戶包括《財富》中91家全球100強企業(yè)和超過四分之三的全球500強企業(yè)。根據其2020年年度報告，其中包括電子商務巨頭阿里巴巴、思科和谷歌。埃森哲市值約443億美元，是全球最大的科技咨詢公司之一，在50個國家/地區(qū)擁有約569,000名員工。

　　在一篇發(fā)布在暗網的帖子中，LockBit上傳了埃森哲數據庫以供出售，同時還對埃森哲岌岌可危的安全進行了必要的抨擊。

　　“這些人無視了了隱私和安全。我真的希望他們的服務比我這個內部人員看到的要做得更好。如果您有興趣購買這些數據庫，請聯系我們?！?/p>

　　—LockBit 網站帖子。

　　據安全事務部稱，在支付贖金的時限結束的時候，泄漏站點顯示了一個名為W1的文件夾，其中包含據稱從公司竊取的PDF文檔集合。LockBit運營商聲稱已獲得埃森哲網絡的訪問權限，并準備在格林威治標準時間17:30:00泄露從埃森哲服務器上竊取的文件。

　　在美國東部時間周三上午晚些時候，這一消息成為頭條新聞，此前CNBC記者Eamon Javers在推特上發(fā)布了關于該團伙聲稱將在未來幾個小時內發(fā)布數據并愿意向感興趣的各方出售埃森哲內部信息的消息。

　　CNBC獲悉，一個使用Lockbit Ransomware的黑客組織表示，他們已經入侵了咨詢公司埃森哲，并將在幾個小時內發(fā)布數據。他們還提出向感興趣的各方出售埃森哲內部信息。

　　幸運的是有備份

　　埃森哲證實：“是的，我們被攻擊了，但現在問題不大。通過我們的安全控制和協議，我們在我們的一個環(huán)境中發(fā)現了不正常活動。我們立即控制了此事件并隔離了受影響的服務器?！薄巴瑫r我們從備份中完全恢復了受影響的系統(tǒng)，對埃森哲的運營或我們客戶的系統(tǒng)不會有任何影響?！?/p>

　　據BleepingComputer稱，威脅要發(fā)布埃森哲數據（據稱在最近的一次網絡攻擊中被盜）的組織被稱為LockBit 2.0。

　　正如Cybereason的Tony Bradley在周三的帖子中所解釋的那樣，LockBit團伙類似于它的勒索軟件即服務（RaaS）兄弟公司DarkSide和REvil。LockBit使用附屬模式出租其勒索軟件平臺，從由此產生的任何贖金中抽取一部分。

　　布拉德利指出，在DarkSide和REvil兩家公司關閉運營后，LockBit團伙顯然正在瘋狂招聘。

　　本周早些時候，澳大利亞政府警告LockBit 2.0勒索軟件攻擊升級，此前有人看到該團伙大肆搜羅他們計劃攻擊的那些公司的內部人員，以數百萬美元作為獎勵。

　　內部人員？

　　Cyble研究人員在推文中表示，這可能是內部人員所導致的?！拔覀冎?LockBit #threatactor一直在雇用企業(yè)員工以來訪問他們目標公司的網絡，”該公司在推特上寫道，同時還附有一個時鐘，它在計時埃森哲還剩多少時間來支付贖金。

　　潛在的內部威脅？我們知道#LockBit #threatactor一直在雇傭企業(yè)員工來訪問他們目標公司的網絡。#ransomware #cyber #cybersecurity #infosec <accenture pic.twitter.com/ZierqRVIjj

　　— Cyble（@AuCyble）2021年8月11日

　　在Cyble研究團隊看到的對話中，LockBit勒索軟件團伙聲稱已從埃森哲竊取了6TB的數據，要求其支付5000萬美元（約3.2億人民幣）的贖金。這伙威脅分子稱已通過公司“內部人員”訪問了埃森哲的網絡，并且這些內部人員“仍在那里工作”，盡管Cyble稱這“不太可能”。

　　熟悉此次攻擊的消息人士告訴 BleepingComputer，埃森哲向至少一家計算機電話集成（CTI）供應商證實遭到了勒索軟件攻擊，并且正在通知更多客戶。根據威脅情報公司Hudson Rock的一條推文，埃森哲有2500臺屬于員工和合作伙伴的計算機已中招，埃森哲也確實在暗示“這些信息肯定被威脅行為者使用了”。

　　在上周發(fā)布的安全警報中，澳大利亞網絡安全中心（ACSC）警告稱，針對澳大利亞組織的LockBit 2.0勒索軟件攻擊從上個月開始上升。

　　警報稱：“此活動發(fā)生在多個行業(yè)領域?！薄笆芎φ呤盏搅酥Ц囤H金的要求。除了數據加密之外，受害者還收到了將公布事件期間被盜數據的威脅?！?/p>

　　ACSC指出（PDF），最近觀察到LockBit威脅參與者積極利用Fortinet FortiOS和FortiProxy產品中的現有漏洞（CVE-2018-13379），以獲得對特定受害者網絡的初始訪問權限。該漏洞是SSL VPN中的一個路徑遍歷缺陷，多年來已被多次攻擊利用：

　　4月，聯邦調查局和網絡安全和基礎設施安全局（CISA）警告說，APT民族國家行為者正在積極利用它在網絡中站穩(wěn)腳跟，然后再進行橫向移動和偵察等。

　　已知漏洞被利用？

　　第三方風險管理公司Shared Assessments的副總裁Ron Bradley周三向Threatpost表示，埃森哲事件是關于“業(yè)務彈性和業(yè)務連續(xù)性之間差異的一個典型例子。業(yè)務彈性就像在拳擊比賽中，您受到了身體的打擊，但可以繼續(xù)戰(zhàn)斗。業(yè)務連續(xù)性則是在運營停止或嚴重受損并且您必須付出巨大努力才能恢復時發(fā)揮作用。

　　布拉德利繼續(xù)說道：”埃森哲的這個特殊例子很有趣，因為它是一個已知/公開的漏洞?！啊彼鼜娬{了確保及時正確修補系統(tǒng)的重要性。埃森哲有能力管理可能被盜數據的影響，這將是許多企業(yè)未來的重要一課?！?/p>

　　網絡安全公司Vectra的總裁兼首席執(zhí)行官Hitesh Sheth表示，所有企業(yè)都應該預料到這樣的攻擊，尤其是一家與這么多公司有聯系的全球咨詢公司。

　　”最初的報告表明，埃森哲制定了數據備份協議，并迅速采取行動隔離受影響的服務器。“”現在讓第三方觀察者評估損失還為時過早。然而，這又一次提醒企業(yè)檢查其供應商、合作伙伴和提供商的安全標準。每個企業(yè)都應該預料到這樣的攻擊——也許尤其是一家與許多其他公司有聯系的全球咨詢公司。重要的是您如何預測、計劃和從攻擊中恢復?！?/p>