美国制造巨头遭勒索攻击，近2TB敏感数据在暗网泄露

与俄罗斯有关联的Rhysida勒索软件团伙近日在暗网泄露了美国制造业巨头Gemini Group近2TB的敏感数据，北美洲员工与客户记录因此面临曝光风险。

Gemini Group总部位于密歇根州巴德阿克市，是一级供应商，在美国和墨西哥设有 18 个分支机构。福特、丰田、通用汽车等主要汽车制造商均采用该集团的产品。公司现有员工 1400 余人，年营收达 3 亿美元。

该公司提供多种产品及服务，包括塑料挤出成型、吹塑成型，以及锻造和铝型材挤压用金属模具制造，其产品供应给汽车行业的主要企业。

10月底，该团伙在其暗网泄密网站发布声明，声称已窃取Gemini Group INC的重要数据。

勒索软件团伙常以泄露站点为施压手段，逼迫企业支付赎金。若谈判破裂，攻击者通常会将窃取的数据公之于众，供任何人下载。

Rhysida 团伙采用其常用策略，给予一周宽限期后，发布了一个 1.9TB 的数据集，据称包含该公司超过 170 万个文件。

暗网泄露数据详情：

• 实习生及其导师名单
• 员工薪资与休假余额文件，含全名、职位、入职日期、实发工资数额及休假天数
• 内部文件模板
• 客户名单，含公司名称、联系人全名及公司地址
• 各类发票
• 年度采购报告
• 健康保险文件，含供应商名称、服务内容、公司所用保险计划及相关费用
• 泄露的员工个人文件及照片，含个人身份信息（PII）、家庭住址、社会安全号码（SSNs）、出生日期及薪资详情

泄露敏感员工数据会使其面临身份盗窃、欺诈、社会工程学攻击风险，甚至可能遭遇人身安全威胁。

Cybernews 研究团队解释称：“此次泄露可能会破坏员工对公司的信任，尤其是在公司未就此事完全透明化的情况下。公司还可能面临法律后果，失去客户信任，而曝光的财务细节可能导致竞争劣势。”

Rhysida勒索团伙背景：

美国国防部最新资料显示，该团伙以“伺机而动”为行动准则，已渗透教育、医疗、制造及地方政府等多个领域。安全机构Barracuda研究人员指出，该组织可能源自俄罗斯或独联体国家。

在近期攻击中，该团伙通过Microsoft Teams、Zoom和PutTy平台展开钓鱼攻击，利用恶意广告传播恶意软件，借员工账户渗透企业系统。据Cybernews暗网监测工具Ransomlooker统计，自2023年5月活跃以来，该团伙已累计声称侵破236个目标。

其罪行包括：

• 9 月：宣称入侵美国马里兰州交通部，该部门运营着美国最大港口之一。泄露的数据样本包括护照、身份证、背景调查文件及其他敏感材料。
• 8 月：攻击田纳西州和肯塔基州周边地区的库克维尔地区医疗中心，导致系统混乱。团伙发布了十余份含患者信息的数据样本，系统中断迫使 IT 团队全天候工作以恢复服务。
• 5 月：宣称攻击秘鲁政府系统，该国官方网站管理着全国身份证登记信息，涵盖护照、税务记录、健康保险、警方档案、劳工记录等。秘鲁政府否认了此次勒索软件攻击。
• 5月：宣称入侵巴西大型汽车经销商 Carrera，窃取的敏感数据包括护照和合同，团伙索要 100 万美元赎金。
• 1 月：宣称入侵加拿大魁北克省蒙特利尔北区服务器，索要 100 万美元赎金。
• 2024 年第四季度：以 100 枚比特币为赎金，攻击西雅图 – 塔科马国际机场，破坏关键系统并导致数周停运，使这一美国西海岸最繁忙的枢纽之一陷入瘫痪。达美航空、新加坡航空、阿拉斯加航空等被迫全面启用人工流程，开具手写登机牌。
• 2024 年：宣称美国主流新闻媒体《华盛顿时报》为攻击目标，声称以 5 枚比特币的价格在网上拍卖该媒体的 “独家” 数据。

消息来源：cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；