航空行业面临勒索病毒的挑战

对于东南地区的航空工业来说，随着假期的结束，淡季快到来了。

本周，两家低成本航空公司遭遇勒索软件攻击。

勒索软件是一个令人生畏的威胁，在2022年笼罩着包括航空在内的战略行业。如今航空工业面临的新威胁，预计针对该行业的大规模 络攻击将会增加。

相关观察与分析

马来西亚航空公司遭代信团队勒索软件集团攻击

2022年11月20日，“Daixin Team”勒索软件集团声称渗透了一家马来西亚航空公司的 络。该组织据称窃取了500万的乘客数据和航空公司员工的个人和公司信息。

“Daixin Team”勒索软件集团于2022年6月成立，并已声称对目前为止的5个攻击入侵事件负责。在美国，该集团主要入侵了医疗保健组织。CISA的一份咨询 告指出该集团的攻击源代码是基于泄露的Babuk Locker勒索软件的源代码二次开发改造的。这些组织通常会通过利用易受攻击的VPN服务器进行初始访问，以及通过钓鱼电子邮件和窃取者获得的受损凭证来传播恶意软件。

泰国廉价航空公司被ALPHVM勒索软件集团攻击

泰国廉价航空公司被ALPHVM勒索软件集团攻击。就在同一天，ALPHVM勒索软件组织，又名黑猫，宣布他们入侵了一家在泰国境内运营的航空公司。该组织声称从受影响的用户那里窃取了超过500GB的数据包含敏感航空操作文件的组织、员工的信息，以及财务和客户信息。

目前勒索软件威胁监控数据显示ALPHVM，也就是自2021年底成立以来，AlphaVM已经瞄准了近200家公司或组织。

ALPHVM是一个基于Rust语言的勒索软件。他们通过使用之前泄露的用户凭证入侵，一旦恶意软件建立，它便会入侵Active Directory并尝试获取管理员帐户的权限。

葡萄牙航空公司被拉格纳?洛克勒索软件集团攻击

2022年8月，一家葡萄牙航空公司遭受到Ragnar Locker勒索软件组织的勒索软件攻击。

从实际的影响中判断，该航空公司服务38个国家的87个目的地，主要是欧洲、非洲和南美洲。

在这次事件中，勒索软件组织声称窃取了581 GB的公司的数据，其中包含超过150万客户信息、相关商业文件、航空公司的内部邮件和员工的数据。

Ragnar Locker勒索软件集团自2020年4月以来一直很活跃。

针对64个不同领域的组织，包括能源、制造业、金融服务、政府和IT。Ragnar Locker勒索软件组织使用“双重勒索”技术和Salsa20加密技术和RSA-2048加密文件密钥。

科威特航空公司被LOCKBIT勒索软件集团攻击

2022年6月，LockBit 2.0勒索软件群攻击了一家航空公司，泄露了超过150GB的公司数据。受影响的航空公司发布公告称，他们的 站和手机应用遭受到了勒索攻击。勒索软件泄露的数据中包含他们人力资源部门的文档，其中包含关于前任和现任的招聘流程和数据的信息。关于政府政策和视察 告的资料也在其中，还包含与飞机部件有关的高度机密数据。

LockBit是一直在发展的最臭名昭著的勒索软件集团之一，自2020年以来一直在运行，目前正在运行第三个版本，称为“LockBit 3.0”。2021年，LockBit勒索软件组织破坏了474个公司和组织。到目前为止，受影响的组织已经超过700个，包括那些重要的组织部门。

影响和危害

勒索软件攻击给受害者组织带来了不可估量的影响， 包括他们的员工和顾客。如上所述，客户的和员工的敏感个人数据在攻击中被泄露，这还可以进一步用于鱼叉式 络钓鱼或有针对性的 络钓鱼活动。保护公司的机密文件至关重要，万一泄露可能被竞争对手用于商业目的，这会导致了公司重大的财务和战略损失。

如果与航班或空中交通相关的服务器发生任何危害，那么很有可能该公司在整个行业部门面临声誉损失。

总结

航空工业有高度敏感的数据，有非常高的收入 ，组织与各个重要产业相互依存，使它们更容易被 络罪犯组织盯上。

勒索软件攻击可以导致毁灭性的影响，航空工业相关的企业应该格外小心他们的数字基础设施。

上述勒索病毒相关IoCs

文件哈希

rclone-v1.59.2-windowsamd64gitlog.txt

9E42E07073E03BDEA4CD978D9E7B44A9574972818593306BE1F3DCFDEE722238

rclone-v1.59.2-windowsamd64rclone.1

19ED36F063221E161D740651E6578D50E0D3CACEE89D27A6EBED4AB4272585BD

rclonev1.59.2windowsamd64rclone.exe

54E3B5A2521A84741DC15810E6FED9D739EB8083CB1FE097CB98B345AF24E939

rclone-v1.59.2-windowsamd64READM

E.html

EC16E2DE3A55772F5DFAC8BF8F5A365600FAD40A244A574CBAB987515AA40CBF

rclone-v1.59.2-windowsamd64READM

E.txt

475D6E80CF4EF70926A65DF5551F59E35B71A0E92F0FE4DD28559A9DEBA60C28