汽车零部件制造商 DENSO 已证实，在新的 Pandora 勒索软件操作开始泄露据称在攻击期间被盗的数据后，它于 3 月 10 日遭受了网络攻击。

DENSO 是世界上最大的汽车零部件制造商之一，为丰田、梅赛德斯-奔驰、福特、本田、沃尔沃、菲亚特和通用汽车等品牌提供广泛的电气、电子、动力总成控制和各种其他专业零件。

该公司在日本以外运营，但在全球拥有 200 多家子公司和 168,391 名员工，2021 年的收入为 446 亿美元。

DENSO 遭到 Pandora 勒索软件团伙的攻击

电装本周末在与 BleepingComputer 分享的一份声明中证实，他们在德国的公司网络于 2022 年 3 月 10 日遭到入侵。

该公司声称已检测到非法访问，并立即做出反应，切断了入侵者与其他网络设备的联系，将影响仅限于德国部门。

“DENSO 已确认其在德国的集团公司网络于 2022 年 3 月 10 日被第三方非法访问，”DENSO 发布的新闻声明中写道。

“在检测到未经授权的访问后，电装立即切断了收到未经授权访问的设备的网络连接，并确认对其他电装设施没有影响。”

所有生产工厂和设施继续正常运行，因此预计此次安全事件不会导致供应链中断。

电装供应链的中断将在全球多个工厂的汽车生产中产生多米诺骨牌效应，打击一个由于芯片短缺和乌克兰工厂关闭而已经陷入困境的行业。

虽然 DENSO 表示网络攻击并未对其运营造成影响，但新的 Pandora 勒索软件团伙已开始泄露据称在网络入侵期间被盗的 1.4TB 文件。

Bleeping Computer 看到的泄露数据样本包括采购订单、技术原理图、保密协议等。目前，我们无法验证泄露的文件是否在最近的事件中被盗。

DENSO 已将违规行为通知当地调查机构，因此如果传播的文件是真实的，则复制、共享或发布它们将构成对公司知识产权的侵犯。

虽然 Pandora 是一个拥有自己加密器的勒索软件团伙，但尚不清楚他们是否在检测到攻击之前成功加密了 DENSO 网络上的文件。

一位安全研究人员声称几个月前在一个暗网市场上看到了网络访问列表，并警告 DENSO 凭据被盗。

DENSO 已将违规行为通知当地调查机构，因此如果传播的文件是真实的，则复制、共享或发布它们将构成对公司知识产权的侵犯。

虽然 Pandora 是一个拥有自己加密器的勒索软件团伙，但尚不清楚他们是否在检测到攻击之前成功加密了 DENSO 网络上的文件。

一位安全研究人员声称几个月前在一个暗网市场上看到了网络访问列表，并警告 DENSO 凭据被盗。

有趣的是，几个月前我警告 DENSO 威胁演员出售他们网络的访问权限，如果他们进入他们的网络的方式完全相同，我将翻转我的桌子https://t.co/rf7g3Pcp6u

— Rad V. (@radvadva) 2022 年 3 月 13 日

尽管购买初始访问产品是一种可能的情况，但该公司目前尚未披露它们是如何被破坏的。

对 DENSO 的网络攻击是 2022 年针对汽车制造商或著名汽车零部件生产商的第三次网络攻击。

2 月，全球最大的汽车制造商丰田由于其主要供应商之一的灾难性 IT 故障而不得不停止其 14 家日本工厂的生产。

上周，普利司通证实了 2 月下旬的勒索软

Pandora 勒索软件是 2022 年 3 月推出的一项新操作，针对企业网络并窃取数据以进行双重勒索攻击。

一旦他们获得对网络的访问权，威胁参与者将通过网络横向传播，同时窃取未加密的文件以用于勒索需求。

加密设备时，勒索软件会将.pandora扩展名附加到加密文件名，如下所示。

当勒索软件对文件进行加密时，Pandora 将在每个名为“ Restore_My_Files.txt ”的文件夹中创建勒索记录。这些赎金记录解释了设备发生的事情，并包括受害者可以联系以进行赎金谈判的电子邮件地址。

赎金记录还包括一个指向勒索软件团伙用来进行双重勒索活动的数据泄露站点的链接。

由于勒索软件操作非常新，因此尚不清楚他们如何访问公司网络以及他们需要多少赎金。

安全研究员 pancak3 认为，Pandora 是 Rook 勒索软件的品牌重塑，原因是代码相似性和操作使用的打包程序。

Intezer 在VirusTotal上检测到 Pandora 勒索软件样本  为 Rook，表明代码相似。

此外，安全研究人员 Arkbird 发现 Pandora 使用与“NightSky”相同的可执行打包程序，后者是 LockFile/AtomSilo 勒索软件操作的先前更名。

Rook 还被认为是基于 去年 9 月在黑客论坛上泄露的Babuk 勒索软件操作的源代码。

奇怪的是，Rook 还在 2021 年 12 月发布了据称属于 DENSO 的数据，因此尚不清楚该公司是否曾两次受到同一勒索软件的攻击。

勒索软件操作通常以安全社区所称的“品牌重塑”来重新命名，希望这将帮助他们逃避执法和政府的潜在制裁。

然而，除非威胁参与者完全改变他们的恶意软件代码、工具和策略，否则总会有办法检测团伙何时更名，从而更容易链接到以前的勒索软件操作。

如果 Pandora 是 Rook 的更名，我们可能会看到该操作在此名称下运行一段时间，然后再次更名为另一个名称，正如我们之前在该勒索软件系列的其他版本中看到的那样。