跨国建材巨头可耐福遭勒索软件攻击，所有IT系统被迫关闭

• 德国建材巨头可耐福集团遭到Black Basta勒索软件袭击，业务运营被扰乱，被迫关闭所有IT系统以隔离事件影响；

• 可耐福称，目前所有工厂正常运转，所有业务离线进行；

• Black Basta勒索软件团伙已在网站上将可耐福列为受害者，并放出了部分样本数据。

7月21日消息，德国建材巨头可耐福集团（Knauf Group）宣布已成网络攻击目标。其业务运营被攻击扰乱，迫使全球IT团队关闭了所有IT系统以隔离事件影响。

此次网络攻击发生在6月29日晚间。截至本文发布时，可耐福仍在开展取证调查、事件响应及补救工作。

可耐福在网站主页上发布的简短公告写道，“我们目前正在努力减轻对我们的客户和合作伙伴的影响。所有工厂正常运转，所有业务离线进行。对于可能发生的交付过程中的任何不便或延迟，我们深表歉意。”

根据外媒看到的邮件警告，作为攻击响应的一部分，可耐福的电子邮件系统已经关闭，目前业务通信主要依靠手机和Microsoft Teams。

可耐福是一家总部位于德国的跨国建筑材料生产商，在全球墙板市场上拥有约81%的份额。

可耐福在全球多个国家拥有150处生产基地，也是美国可耐福绝热材料公司及USG公司的所有者。

值得注意的是，可耐福绝热材料公司也在网站上发布了关于网络攻击的通知，可见其同样受到了影响。

虽然可耐福并未在公告中说明此次遭遇的具体攻击类型，但从事件持续时间、影响和IT系统的恢复难度来看，这恐怕是一起勒索软件攻击。

事实上，名为Black Basta的勒索软件团伙已经在其网站上发布公告，于7月16日将可耐福列为受害者。此举也相当于宣布对这次攻击负责。

图：Black Basta勒索门户将可耐福列为攻击受害者

该勒索软件团伙还公布了一批数据，据称是攻击期间从可耐福处窃取到的全部文件中的20%。目前已经有超过350名访问者访问了这些文件。

图：Black Basta泄露了20%的被盗文件

记者已经看到电子邮件通信、用户凭证、员工联络信息、生产文档及ID扫描件等样本。

既然没有公布所有失窃文件，看起来恶意团伙仍希望能通过谈判获取赎金。

Black Basta勒索软件团伙在2022年4月首度开展RaaS攻击，并迅速凭借针对高调受害者的双重勒索行为闯下名号。

根据早期展现出的知识能力和谈判风格来看，不少安全专家认为Black Basta应该是Conti改头换面之后的新“马甲”。

到2022年6月，Black Basta开始与Qbot（QuakBot）合作传播其勒索软件，同时开始投放Cobalt Strike并协助在受害者网络内横向移动。

另外，这群恶意黑客还专门为自己的勒索软件制作了Linux版本，用于入侵运行在Linux服务器上的VMware ESXi虚拟机。 

参考资料：bleepingcomputer.com