北美国家政务机构遭勒索软件攻击，内部数据全部泄露

前情回顾·政务网络威胁概览

安全内参8月26日消息，位于北美洲的多米尼加共和国突遇横祸，农业部下属机构Instituto Agrario Dominicano（IAD）受到Quantum勒索软件攻击，导致该机构内多个服务及工作站被加密锁定。

IAD是多米尼加农业部的下辖机构，负责为该国执行土地改革计划。

当地媒体报道称，此次勒索攻击发生在8月18日，已经影响到IAD的正常运营。

IAD技术总监Walixson Amaury Nuñez向当地媒体表示，“对方开价超过60万美元。我们这边被锁定的包括四台物理服务器和八台虚拟服务器，几乎是我们的全部服务器设备了。”

一直协助IAD从攻击中恢复的国家网络安全中心（CNCS）表示，攻击者的IP地址来自美国和俄罗斯。

Núñez还透露，“由于数据库、应用程序和电子邮件等都受到了影响，信息已经全面泄露。”

IAD告诉当地媒体，他们的系统上只装有防病毒软件之类最基础的安全软件，并且没有专门的网络安全部门。

外媒BleepingComputer从@VenezuelaBTH 推特上获悉，IAD不太可能向恶意黑客支付赎金，因为他们根本负担不起这么大笔款项。

调查发现，本次攻击的幕后黑手正是Quantum勒索团伙，他们最初开出65万美元赎金。

恶意黑客声称已经窃取到超过1 TB数据，并威胁称如果IAD不支付赎金，他们就把数据发布出去。

图：Quantum勒索说明

Quantum正逐步成为针对企业受害者的主要勒索软件团伙。他们之前曾攻击过应收账款管理公司Professional Finance Company（PFC），进而间接影响到超650家医疗保健机构。

据悉，Quantum团伙已经成为Conti勒索软件团伙旗下的附属组织，所使用的Quantum勒索软件则是由MountLocker勒索软件改头换面而来。

MountLocker勒索软件于2020年9月首次在攻击中亮相，随后曾多次变更名称，包括AstroLocker、XingLocker，以及现在的Quantum。

最后这次更名发生在2021年8月，当时该团伙的勒索软件加密器开始为被加密文件添加.quantum扩展名。不过在此之后，该团伙已经很少发动攻击，频繁的更名也暂时告一段落。

随着Conti勒索软件团伙的沉寂，Quantum团伙又开始蠢蠢欲动。

根据Advanced Intel公司Yelisey Boguslavskiy的介绍，一部分Conti团伙成员已经加入Quantum，因此攻击势头又有所恢复。