澳大利亚州政府昨天披露，上个月一家外部薪资软件提供商的系统遭到勒索软件攻击后，隶属南澳大利亚州政府数万名员工的敏感个人信息遭到泄露。

这属于又一起供应链攻击，此前REvil勒索在针对Kaseya VSA供应链海啸攻击中成功间接袭击了几百家公司，但这次受害者直接是政府信息层面。

黑客访问的记录数量相当于至少38000名南澳大利亚州政府雇员，但据南澳大利亚州财长卢卡斯(Rob Lucas)称，可能高达80000人。

此次数据泄露背后的被泄露公司是Frontier Software，该公司于2021年11月13日遭受勒索软件攻击。Frontier Software成立于1983 年，是提供全球人力资源和薪资软件解决方案的公认领导者。

根据该公司对该事件的声明，威胁并未通过其产品转移到客户端系统，数据泄露仅影响特定的分段环境。该公司表示：“Frontier Software和CyberCX正在进行的取证调查和其他响应活动现已证实，Frontier Software的澳大利亚内部企业环境中有一些数据泄露的证据。” “我们还没有发现在这个分段环境之外的入侵或渗漏的证据。”

根据澳大利亚州政府的说法，已泄露的数据包括以下内容：

• 名

• 姓

• 出生日期

• 税号

• 家庭地址

• 银行账户明细

• 就业开始日期

• 发薪期

• 薪资

• 预扣税款

• 付款类型（如存在）

• 一次性付款类型和金额（如存在）

• 退休金款项

• 可申报的附加福利税额（如存在）

唯一没有受到事件影响的公共实体是南澳大利亚州教育部，因为教育部不使用Frontier产品。卢卡斯在披露数据泄露后告诉外媒：“除了教师和教育部之外，最高层到最低层以及我们中间的所有其他人都可能受到影响 。” 

澳政府网站上的事件公告中的说明

“拥有银行帐户详细信息并不能让您访问银行帐户，但这是尝试破解密码的第一步。“我们希望州政府采取一切可能的措施来审查其网络安全措施，以防止将来发生此类事件。”建议受此事件影响的政府雇员谨慎对待收到的电子邮件、电话和短信。此外，每个人都应该重置密码并在可能的情况下激活双因素身份验证。受影响的个人应密切监控银行对账单和账户活动，并向当局报告任何可疑交易。

Conti勒索团队为幕后黑手

在Conti勒索软件的数据泄漏门户网站上曾在2021年11月16日发布公告，该公告与Frontier Software在其声明中共享的攻击详细信息相符。

但是，该列表已从Conti泄漏门户中删除，这可能意味着谈判已经结束，很大可能性澳大利亚政府支付了勒索赎金。

Conti是一项长期存在的勒索软件即服务 (RaaS) 业务，即使在针对爱尔兰卫生部等重要国家资源的高调事件之后，仍然设法逃避起诉。

澳大利亚政府对Conti勒索软件攻击发出警告

澳大利亚网络安全中心 (ACSC) 昨天表示，自去年11月以来，Conti勒索软件攻击已针对来自各个行业垂直领域的多个澳大利亚组织。

“ACSC了解到澳大利亚组织在2021年11月和12月受到Conti勒索软件影响的多个实例。

这一活动发生在多个部门。受害者收到了支付赎金的要求，”澳大利亚网络安全机构在昨天发布的安全公告中警告说。

“除了数据加密以及随后对组织正常运营能力的影响之外，受害者在勒索软件参与者发布的事件中还窃取了数据，包括个人身份信息 (PII)。”

该警告是在11月针对澳大利亚电力供应商CS Energy的企业ICT网络的勒索软件攻击之后发出的。然而，正如CS Energy首席执行官安德鲁比尔斯透露的那样，该公司没有“发现网络事件是基于国家的攻击的迹象”。

Conti勒索软件团伙于11月27日声称发动了这次攻击，当时这家澳大利亚能源供应商发现了此次入侵。Conti尚未泄露从CS Energy窃取的任何文件。

ACSC还发布了一份勒索软件配置文件，其中包含有关Conti团伙的其他信息，包括初始访问指标、目标部门和缓解措施。

该机构补充说：“参与部署Conti勒索软件的威胁行为者经常改变攻击模式，并在网络所有者能够应用补丁或缓解措施之前，迅速利用新披露的漏洞在网络中进行破坏和操作。”

“已经观察到Conti附属公司针对关键部门的实体，特别是包括医疗保健组织。2021年，Conti声称已在其TOR站点上破坏了全球至少500个组织。”

ACSC提供侧重于Conti TTP(战术、技术和程序)的缓解措施，包括：

• 启用多因素身份验证 (MFA) 以阻止使用被盗凭据

• 加密静态敏感数据以阻止敏感信息泄露

• 分割公司网络并限制管理员权限以阻止权限提升尝试和横向移动

• 维护每日备份以减少攻击的影响

该机构此前曾警告称， 从2021年7月开始，针对澳大利亚组织的LockBit 2.0勒索软件攻击将有所增加。

多一个点在看

多一条小鱼干