中國汽車零部件供應商延鋒(Yan Feng)向通用汽車、大眾集團、福特、Stellantis(Fiat、克萊斯勒、吉普、道奇)、寶馬、戴姆勒、豐田、本田、日產和上汽集團銷售內裝零件,該公司是這些汽車製造商供應鏈的重要組成部分,在全球 240 個地點擁有超過 57,000 名員工。根據資安網站Cybernews麒麟(Qilin)勒索軟體組織聲稱對延鋒的網路攻擊負責。對這家中國供應商的攻擊對北美汽車製造供應鏈產生了連鎖反應,導致多家美國工廠中斷,其中包括全球汽車製造商 Stellantis 營運的工廠。
本月早些時候,有 報導 稱對延鋒網路攻擊的直接影響到Stellantis,迫使該汽車公司停止其北美工廠的生產。Cybernews 聯繫了延鋒,該公司沒有回應,也沒有就攻擊發表公開聲明。然而延鋒網站癱瘓了一個多星期,直到昨天它的主要網站才重新上線,但沒有任何有關斷網的聲明。另外吉普車主也報告說,客戶服務熱線癱瘓了好幾天。
Stellantis (原菲亞特克萊斯勒,2023 年與法國 PSA 集團合併) 在美國擁有 22 家製造工廠,加拿大有 6 家,墨西哥有 7 家。
11 月 15 日,根據Stellantis的發言人,「由於外部供應商的問題,Stellantis 的一些北美組裝工廠的生產受到干擾。我們正在監控情況並與供應商合作,以減輕對我們營運的進一步影響。」
據威脅研究專家Kevin Beaumont指出,這次攻擊是駭客利用了名為Citrix Bleed(CVE-2023-4966,CVSS風險評分為9.4)的零時差漏洞。
根據美國網路安全和基礎設施安全局(CISA) ,駭客利用Citrix Bleed漏洞入侵網路環境,可以繞過密碼和多因素身份驗證(MFA) 請求,從而成功劫持Citrix NetScaler Web 應用程式交付控制(ADC) 和網關設備上的合法用戶會話, 一旦進入目標網路,駭客就會利用各種遠端和網路監控工具來獲得進一步的存取權並找到將使用勒索軟體加密的最終伺服器。
麒麟(又名 Agenda)於 11 月 27 日(星期一)在其揭秘網站上發布了延鋒頁面,並附上了23 張盜竊數據的截圖。麒麟稱,截圖證實我們擁有大量敏感資料,並將在未來幾天內發布這些資料。
另外Group-IB在上週發布其在3月秘密調查的報告,揭露了麒麟勒索軟體集團的內部運作。該組織於 2022 年首次被發現,經常使用網路釣魚電子郵件來瞄準受害者。Group-IB 研究人員被認為與俄羅斯有聯繫,他們發現了該集團的會員是如何佈局的。
「對於總額為 300 萬美元或以下的勒索金額,會員可以獲得 80% 付款項。對於超過 300 萬美元,他們則可以獲得 85%,」Group-IB 表示。
根據威脅情報公司 Cyble 發布的 2023 年第二季勒索軟體報告,2023 年上半年針對全球製造業的勒索軟體攻擊激增了 130%。
此次之前,2022年10月,麒麟勒索軟體曾入侵某台灣製藥大廠: