近日,美国最大的农业合作社之一New Cooperative Inc.遭到Black Matter勒索软件组织的攻击,攻击者要求合作社为解密密钥支付590万美元。爱荷华州也是美国最大的玉米产地和第二大大豆产地。
New Cooperative合作社在近期证实了这次袭击,并表示该事件影响了公司的一些设备和系统。该公司发言人表示:“出于谨慎考虑,我们已主动将系统脱机以遏制威胁。我们还迅速通知了执法部门,并正在与数据安全专家密切合作,以调查和纠正这种情况。”
勒索软件团伙声称已经获取了该合作社的财务和人力资源信息、网络信息和密码、研发结果以及Soilmap软件(农业生产者技术平台)的源代码(目前无法使用)。据悉,合作社一直在与该勒索团伙谈判,尽管此前很多勒索软件组织承诺不会攻击关键基础设施,但现实是,这次攻击的后果可能直接导致食品供应链中断。
工业网络安全公司Claroty的CISO兼首席产品官Grant Geyer表示,无法判断合作社的OT系统是否也受到了损害,他认为:“当一个组织受到勒索软件的攻击时,一旦意识到无法对其IT环境进行积极的控制,关闭运营就成了自然反应,因为受害者不知道黑客渗透的深度或范围有多广。这次袭击表明美国经济和供应链相互关联的深度和广度。勒索软件团伙将供应链中不可或缺的企业置于艰难险境所产生心理冲击,来更快捷地捞取赎金。”
MDR服务提供商Critical Start的专业服务总监Quentin Rhoads-Herrera指出,在谈判方面,如果New Cooperative打算考虑支付数据恢复费用,他们需要确保该组织能够真正恢复他们的数据之后再付款。
“虽然不太可能,但合作社还是应该尝试了解该勒索软件组织是否会披露诸如如何获得访问权限以及如何从网络中获取数据的信息。与此同时,由于合作社知道KeePass数据已被盗,他们需要继续锁定帐户并创建具有复杂密码和多因素身份验证的新帐户。
“他们还需要与公司合作进行事件响应活动,例如分类以清除攻击者的任何残余,同时还要寻找‘零号患者’。了解如果数据泄露可能发生的潜在损害的全部范围,这是开始主动寻找缓解方法的首要任务。展望未来,备份、源代码存储库和其他‘皇冠上的宝石’等关键基础设施需要从现在开始受到严密监控和保护,以确保它们可以在需要时恢复数据并防止此类攻击在未来再次发生的可能性。”
Geyer建议参与食品供应链的公司确保他们完全了解其所有系统和流程,并持续监控可能由针对性或机会性攻击引起的任何威胁。“准确的资产清单是实现适当漏洞管理的第一步,以确保关键系统达到最新的修补级别,并在适当的时候采取补偿控制措施。”他解释说。
合作社还应确保对网络进行分段以阻止攻击者的横向网络移动,并定期测试事件响应计划和进行桌面演习,并在不影响生产环境的情况下实施这些计划。