埃森哲被LockBit勒索攻击数据泄露事件研判

埃森哲是一家以服务于汽车、银行、政府、技术、能源和电信等众多行业而闻名的IT巨头，2020年收入443亿美元，市值2032亿美元，是全球最大的科技咨询公司之一，在全球50个国家或地区雇有约569000名员工。

埃森哲在本周三遭到了LockBit 勒索软件团伙发动的勒索软件网络攻击，据称2500台机器受到了影响，埃森哲称通过备份快速完成了恢复，业务未受影响。

事件最早被一个CNBC的记者Eamon Javers在推特上爆料出来：

LockBit 2.0的勒索软件团伙扬言要发布据称从埃森哲窃取了6T文件数据，并表示如果受害者没有支付赎金，他们将在今天晚些时候发布数据：

LockBit在其数据泄露网站上称：“这些人无视隐私和安全。我确实希望他们的服务比我这个内部人员看到的做得更好。如果你有兴趣购买一些数据库，请联系我们。”

至于泄露何时发生、何时被检测到、其范围或利用漏洞的技术原因，这些方面的具体细节尚不清楚。

埃森哲受影响的系统已通过备份恢复过来：“通过我们的安全控制和协议，我们在自己的一个环境中发现了异常活动。我们立即遏制了事态，并隔离了那些受影响的服务器。”，“我们通过备份完全恢复了受影响的系统。埃森哲的业务运营或我们客户的系统并没有受到影响，”

LockBit勒索软件团伙声称，已从埃森哲窃取了6 TB的数据，并要求支付5000万美元的赎金。

攻击人员声称，已通过公司“内部人员”访问了埃森哲的网络。熟悉这次攻击的消息人士称，埃森哲已向至少一家网络威胁情报供应商（CTI）确认遭到勒索软件攻击。这家服务提供商正在通知更多的客户。

网络犯罪情报公司Hudson Rock透露，埃森哲有2500台属于员工和合作伙伴的计算机已中招：

在一个Github项目中，有人发布了部分被窃文件的列表，有2000多个文件路径及名字：

通过脚本爬取：

发现应该是该攻击者发布在其博客的一小部分测试解密文件列表。

分析人员无法从被窃文件名判断数据的价值，但从部分文件名判断，文件类型很杂，其中部分文件看起来并不是什么机密文件。但如果被窃文件有6T大小，其中包含机密信息的可能性非常大，可能涉及埃森哲客户相关的大量内部信息，有些信息极有可能有助于攻击者或其他相关方的进一步恶意活动。

LockBit组织及相关的恶意软件最早出现于2019年9月。

在2021年6月，发布了LockBit 2.0并招募合作伙伴，到目前已经影响过全世界范围内数以千计的单位。

大部分LockBit的攻击活动是自动化的，成为市面上最高效的勒索软件分支之一。团伙还发布了名为StealBit的工具，号称市面上最快的数据渗出工具，据称可以在20分钟内下载100G的数据。

LockBit使用AES算法加密数据，典型的攻击会要求5位数的金额来解密数据，整个操作高度自动化以使人力投入最小化，它可以被用来作为RaaS服务，类似之前因攻击美国油管公司的DarkSide和攻击MSP服务商Kaseya的REvil勒索组织，这前2次攻击都要求了创纪录的赎金。

埃森哲公司本身是对网络安全非常重视的机构，其分析部门甚至还有相当的研究，经常性发布网络安全相关的各种报告。这样一个科技巨头轻易被勒索组织得手，其他公司就更容易受到影响。

目前看，由于及时的备份恢复，勒索攻击本身没有对业务连续性造成影响。事件过程中所泄露的文件，其中可能包含大量埃森哲自己或客户的机密文件和敏感信息，如果被恶意相关方购买获取，会给埃森哲及其客户带来不可能预料的影响。

关于作者