迷宫勒索软件｜美国航空航天服务提供商数据泄露

迷宫勒索软件帮派入侵并成功加密了VT圣安东尼奥航空航天公司的系统，并于2020年4月从该公司受感染的设备中窃取并泄漏了未加密的文件。

VT圣安东尼奥航空航天公司（VT SAA）是北美领先的飞机MRO（维护，维修和大修）服务提供商，专门从事机体维护修理和大修，线路维护，飞机改装和飞机工程服务。

VT SAA是ST Engineering的子公司（ST Aerospace的子公司ST Aerospace的子公司），ST Engineering是在新加坡证券交易所上市的最大公司之一，并且是一个工程集团，在100多个国家/地区拥有国防，政府和商业部门的客户，并且亚洲，欧洲，中东和美国的大约23,000人。

ST航空航天为安装在各种空中客车和波音飞机和直升机上的25,000多种机械和航空电子部件提供维修和大修服务。

迷宫加密的VT SAA的 络

Maze勒索软件运营商在其数据泄漏站点上的新帖子中表示，他们破坏了ST Engineering的 络（实际上是该集团的北美子公司之一VT SAA的 络），从而窃取数据和加密服务器。

攻击期间，在部署勒索软件有效载荷以加密公司服务器之前，Maze声称已窃取了价值1.5 TB的未加密文件，以用作向ST Engineering子公司施加压力以勒索其勒索的手段。

ST工程进入迷宫泄漏现场

作为“证明”他们违反了VT SAA的 络，Maze已经泄漏了100多个文档，其中包括财务电子表格， 络保险合同，提案和过期的NDA。

我们被告知，这些文件据称包括财务信息，“ IT安全系统”信息，以及ST Engineering如何在财务上支持拉丁美洲和独联体国家的政治团体。

迷宫没有提供这些说法的任何证据。在部署勒索软件有效载荷之前，从受害者的 络中窃取文件是Maze Ransomware操作员的常用程序。

其他勒索软件运营商（包括但不限于REvil，DoppelPaymer，Nemty，Netwalker和CLOP）也采用了这种勒索策略。

文件泄漏

BleepingComputer还被告知，VT SAA的 络保险合同是与Chubb签订的，Chubb也受到了Maze Ransomware运营商的攻击，并在2020年3月对其 络进行了加密。

Bad Packets当时表示，尽管保险公司声明其 络没有受到破坏（尽管该安全漏洞过去曾作为其他勒索软件的一部分加以利用），但Chubb仍针对CVE-2019-19871漏洞对众多Citrix ADC（Netscaler）服务器进行了修补。攻击）。

迷宫袭击的细节

虽然Maze并未描述其攻击的详细信息，但他们泄漏了IT经理的 络攻击备忘录，该备忘录准确显示了攻击的发生方式。

Maze首先使用受感染的管理员帐户通过远程桌面连接连接到VT SAA的一台服务器，然后破坏默认的Domain Administrator帐户，并访问该公司的域控制器，Intranet服务器和两个域上的文件服务器。

备忘录还说，在2020年3月7日，Maze Ransomware对VT SAA的系统进行了加密之后，三天内全部恢复了加密系统。

由于文件的数量以及Maze已经在其泄漏站点上发布的失窃数据的敏感性质，ST Engineering Aerospace子公司还必须将此事件作为对所有受影响方（包括员工和客户）的数据泄露进行披露。

受影响的系统和数据

ST Engineering North America仅部分受到此次攻击的影响

VT San Antonio Aerospace副总裁兼总经理Ed Onwe在致BleepingComputer的声明中说，这次袭击只影响了ST Engineering在美国的有限商业运营。

“ VT圣安东尼奥航空航天公司发现，一个复杂的 络犯罪分子（称为Maze犯罪集团）获得了对我们 络的未经授权的访问，并实施了勒索软件攻击。在这一点上，我们正在进行的调查表明，威胁已得到遏制，我们相信这一威胁只能与少数几个意法半导体（ST Engineering）在美国的商业机构隔离。

目前，我们的业务仍在继续运作。”

“发现事件后，公司立即采取了行动，包括断开某些系统与 络的连接，聘请领先的第三方法证顾问来协助调查并通知适当的执法部门。

“在此过程中，我们将对事件和系统进行严格的审查，以确保托管的数据保持安全。这包括部署高级工具来补救入侵和恢复系统。我们还采取措施进一步加强公司的整体 络安全架构。”