威胁情报|本田汽车遭受勒索病毒攻击导致部分生产系统中断

来源:公众号“汽车信息安全”
2020-06-15
2182

近日,本田汽车疑似遭遇勒索病毒Ekans攻击,其在欧洲,日本和美国的分支机构的运作受到影响。

    据悉本田受到网络攻击后,于本周二暂停了其在世界各地一些工厂的生产。
    该汽车制造商知情人士表示:“本田确实经历了网络攻击,影响了美国一些工厂的生产运营。但是,目前没有证据表明会泄露客户的个人身份信息,且本田已经逐步恢复了大多数工厂的生产,目前正在努力使俄亥俄州的汽车和发动机工厂恢复生产。”
    根据公开可获得的有限信息,在正常访问本田汽车服务器,电子邮件甚至内部系统时已开始遇到问题,甚至日本以外的服务器也无法访问。本田发言人克里斯·阿布布鲁泽斯(Chris Abbruzzese)表示,病毒从外部传播到其内部系统,他们的网络安全团队正在研究问题细节,出于安全原因,拒绝透露更多信息。
    但据外媒彭博社周二晚间报道,俄亥俄州和土耳其的汽车制造厂以及印度和南美的摩托车制造厂停产, 该公司正在努力修复生产系统。该新闻媒体还表示,日本业务并未受到影响,本田在美国的其他工厂已经恢复生产。

    在Twitter上其中一个名为@milkr3am 的安全研究人员发布了多张屏幕截图,其中包括带有声称专门针对”mds.honda.com“域进行检查的Ekans(又名Snake)代码的屏幕截图,表明该变种已针对本田公司进行了专门定制。

    注:Ekans 是一种恶意软件变种,它会感染工业控制系统以破坏工厂运营,直到支付了赎金为止。安全分析人士说,Ekans是Snake Ransomware的衍生产品,到目前为止已经感染了与汽车和电子行业有关的工厂。

    攻击者还发布了赎金记录,要求受害组织与名为的Tutanota 电子邮件地址取得联系,以讨论购买专用解密密钥的过程,它说该密钥是“专门为您的网络创建的”。

    除此之外,还有指向Virus Total的链接,这些链接显然显示了71家供应商中有40家检测到的Snake或Ekans勒索软件代码。

  此后,安全研究员@Vitali Kremez通过Twitter发文,表示除了mds.honda.com检查外,它还包含对美国IP地址170.108.71.153的引用。 

该IP地址解析为“ unspec170108.amerhonda.com”主机名。尽管DNS记录显示该地址在Internet上无法访问,但安全研究人员认为,该网络名称仅在本田的内部网络内部可用。研究人员表示,勒索软件经常被编程为锁定属于特定目标的数据。推测是对mds.honda.com的引用,它是一种防止对本田公司网络外部的数据进行加密的机制。

    无独有偶,这并不是本田的网络安全态势首次受到威胁。早在2011年,其美国分支机构就承认有数据泄露事件,该数据泄露事件损害了超过200万客户的个人详细信息。

    此后在2019年,这家汽车制造商遭受了两次单独的事件。7月,安全研究员@Justin Paine发现了一个不安全的ElasticSearch数据库,该数据库包含有关包括首席执行官在内的全球约30万名本田员工的信息,泄露了1.34亿个公司文档(约40GB数据)。然后在12月,一次类似的事件暴露了该公司北美业务的大约26,000条的客户记录,安全研究员@Bob Diachenko发现该数据库来自用于远程信息处理服务的数据记录和监视服务器,它包括客户全名,电子邮件地址,电话号码,通信地址,车辆型号和型号,以及其识别号(VIN)。


参考链接https://www.virustotal.com/gui/file/d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1/relations

https://www.bleepingcomputer.com/news/security/honda-investigates-possible-ransomware-attack-networks-impacted/



END





主   编:杨文昌 @Vincent Yang
主理人:李   强 @Keellee



收藏
点赞
2000