Underground 勒索软件团伙声称对上周针对日本科技巨头卡西欧的攻击负责，此次攻击导致系统中断并影响了该公司的部分服务。近日，卡西欧在其网站上披露了此次攻击，但未透露有关该事件的详细信息，称已聘请外部 IT 专家来调查个人数据或其他机密信息是否在攻击中被盗。

目前，Underground 勒索软件组织已将卡西欧添加到其暗网勒索门户网站上，泄露了据称从这家日本公司窃取的大量数据。

泄露的数据包括：社外秘、法律文件、员工个人资料、保密保密协议、员工工资信息、专利信息 公司财务文件、项目信息、事件报告。

如果上述情况属实，则此次攻击已经损害了卡西欧的员工和知识产权，这可能对其业务产生负面影响。

卡西欧数据在 Underground 勒索软件门户网站上泄露

有媒体再次联系卡西欧，询问对威胁者的说法和数据泄露发表评论，但尚未收到任何回应。

Underground 勒索软件概述

根据 Fortinet 2024 年 8 月下旬的报告，Underground 是自 2023 年 7 月以来针对 Windows 系统的规模相对较小的勒索软件操作。

该病毒与俄罗斯网络犯罪组织“RomCom”(Storm-0978) 有关，该组织此前曾在被破坏的系统上向古巴传播勒索软件。 

Fortinet 报告称，今年夏天，Underground 勒索软件运营商开始利用 CVE-2023-36884，这是 Microsoft Office 中的一个远程代码执行缺陷，很可能被用作感染媒介。一旦系统遭到破坏，攻击者就会修改注册表，以在用户断开连接后使远程桌面会话保持活动状态 14 天，从而为他们提供一个舒适的窗口来保持对系统的访问。

Underground 不会向加密文件附加任何文件扩展名，并且它被配置为跳过 Windows 操作必需的文件类型，以避免导致系统无法使用。此外，它还会停止 MS SQL Server 服务，以释放数据以供盗窃和加密，从而最大限度地扩大攻击的影响。

与大多数 Windows 勒索软件的情况一样，Underground 会删除卷影副本，从而使数据无法轻松恢复。

Underground 的勒索信

Underground 勒索策略的一个独特特征是，它还会泄露 Mega 上被盗的数据，通过其 Telegram 频道推广指向那里托管的档案的链接，从而最大限度地提高数据的曝光度和可用性。

Underground 勒索软件的勒索门户目前列出了 17 名受害者，其中大多数位于美国。

卡西欧的攻击是否会成为威胁组织进入主流的突破口，进而带来更高的攻击量节奏，还有待观察。

参考及来源：https://www.bleepingcomputer.com/news/security/underground-ransomware-claims-attack-on-casio-leaks-stolen-data/