近日，美国能源服务公司BHI Energy罕见地披露了网络攻击详情，包括Akira勒索软件如何在攻击期间入侵其网络并窃取数据。

BHI Energy隶属于西屋电气公司，是一家专业工程服务和人员配备解决方案提供商，为私营和政府运营的石油和天然气、核能、风能、太阳能和化石发电装置以及输配电设施提供支持。

在向受影响人员发送的数据泄露通知中，BHI Energy披露了有关Akira勒索软件团伙如何于2023年5月30日入侵其网络的详细信息。

Akira首先使用窃取的第三方承包商的VPN账号初始访问BHI Energy的内部网络。

根据数据泄露通知：“在初始访问一周后，Akira使用同一受感染帐户对BHI的内部网络进行了侦察。”

Akira于2023年6月16日再次访问了BHI的内部网络并清点了将要窃取的数据。6月20日至29日期间，Akira窃取了76.7万个文件约690GB数据，其中包括BHI的Windows Active Directory数据库。

最后，在2023年6月29日，在Akira从BHI内部网络窃取了所有目标数据后，在所有设备上部署了Akira勒索软件来加密文件。此时，BHI的IT团队才意识到公司已受到攻击。

BHI表示，他们立即通知了执法部门并与外部专家合作恢复受影响的系统。Akira在BHI网络上的立足点已于2023年7月7日被清除。

BHI还表示，由于云备份解决方案中的数据未受勒索软件攻击影响（加密），因此能够在不支付赎金的情况下恢复系统。

此外，BHI还加强了安全措施，具体措施包括对VPN访问实施多因素身份验证、执行全局密码重置、扩展EDR和AV工具的部署以覆盖其环境中的所有资产，以及淘汰旧系统等。

参考链接：

https://www.documentcloud.org/documents/24075435-bhi-notice

来源：GoUpSec