在6名CLOP勒索軟體的嫌犯被捕一周後,CLOP在其揭秘網站上又公佈新的受害公司,這意味著什麼呢?!

在上週 6 月 16 日,6名CLOP勒索軟體的幕後駭客被烏克蘭警方拘捕,當時警方表示,他們在烏克蘭首都基輔及其周邊地區對涉嫌駭客的家中和他們的汽車進行了 21 次搜查並扣獲了電腦、手機和伺服器設備、185,000 美元的現金(相信是贖金)及幾輛汽車等。

但今在CLOP揭秘網站CLOP^_-LEAKS上發現新的受害者,表示CLOP仍然活躍,也證明最近被逮捕的駭客不包括核心成員。目前尚不清楚這家新公司是何時遭到CLOP的攻擊,這是否在6名CLOP成員逮捕前已被入侵但直到現在才發布的數據,還是完全是一次新的攻擊。無論是哪種,它都表明CLOP仍然以某種方式活躍。專門跟踪勒索軟體的 Emsisoft 安全研究員Brett Callow表示:“數據已經發布的事實表明,烏克蘭警方的行動沒有涉及CLOP的核心成員,也沒有完全擾亂CLOP的操作。”

CLOP^_-LEAKS上的更新,出現新的受害者

CLOP在上週被捕後,今發布新的受害者和盜竊數據,正如網路安全情報公司Intel 471上週表示,被捕的嫌疑人僅限於CLOP業務的套現和洗錢方面,逮捕並沒有打擊經營犯罪集團的核心。

換句話說,CLOP又重新浮出水面意味著企業與CLOP的鬥爭遠未結束。

CLOP勒索軟體的相關情資:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42

LockBit勒索軟體推出了新的招募會員計劃“LockBit 2.0”,稱其最新的工具StealBit是世上最迅速盜竊數據的神器

Key Points:

*最近發生了勒索軟體收山、駭客被逮捕和伺服器遭扣押等事件,估計LockBit2.0的推出可吸引曾使用 DarkSideCLOPAvaddon勒索軟體的駭客。

*操作LockBit的駭客推出一項名為LockBit2.0的勒索軟體即服務(Ransomware as a Service , RaaS)計劃, LockBit承諾提供會員世界上最快的加密和數據盜竊工具

在3月中被爆出LockBit勒索軟體含錯誤使其試用版解密工具能任意被使用,可免費解密後,LockBit沉寂一陣子,現重新露臉並立即推出其加強版LockBit2.0,以招募更多新的駭客會員使用其勒索軟體加密更多公司。據相信,LockBit2.0已修復之前Lockbit勒索軟體中的錯誤並加入更強大的Stealer程式“StealBit”, 據 LockBit 的承諾,它可以在不到 20 分鐘內從受感染的系統迅速下載 100 GB 的數據。迅速下載數據對於操作勒索軟體的駭客來說非常重要,因為他們盜竊數據的速度越快,越更大幅度減低被發現和阻擋的機會。竊取數據是當今勒索軟體攻擊的重點,這些數據通常是受害者支付贖金的原因。另外,StealBit同時還支援即時壓縮(Real-time compression)和拖放功能(Drag-and-drop),並對安全工具保持隱藏。

LockBit提供StealBit對資料下載速度的比較表 Photo Credit: KELA

LockBit的駭客同時在加密也做出了同樣的承諾,聲稱是“世界上最快的加密軟體”,且優於其他的勒索軟體。LockBit表示,會員只需要對核心伺服器建立存取,其餘的工作全由LockBit 2.0一手包辦。

LockBit2.0招募合作夥伴頁面 Photo Credit: KELA

據信LockBit 2.0 計劃的合作夥伴將享有以下功能和特性:

*Tor中的管理員面板

*解密工具功能的自動測試

*阻止可能破壞加密過程的進程啟動

*進階的通訊埠端口掃描

*在聊天室推送通知

*自動清除受感染網路中的日誌

*通過 Wake-on-Lan 自動啟動電腦

*能使用在受害網路中連接的印表機印出需要的文件

*在受害網路中的自動散播

*刪除可用於備份還原的陰影複製

LockBit相關情資:

https://otx.alienvault.com/pulse/5ff7560e8ebcdf1d6e6201f9

Source:

https://twitter.com/Intel_by_KELA/status/1406905385580118017

遭勒索軟體攻擊,多倫多Humber River醫院緊急關閉5000電腦,醫院實施灰色代碼(Code Grey)警示!

humber river hospital

加拿大多倫多Humber River醫院的一份聲明中,承認其系統在6月14日凌晨2點左右受到了勒索軟體攻擊,從那時起,醫院一直在 「灰色代碼 」(Code Grey)下運作, Code Grey是在意味著醫院基本服務喪失時所使用的警示。由於醫院工作人員無法存取電子病歷和診斷測試結果,醫院已經取消了各種門診,並在大門前派了工作人員來重新引導患者,聲明說,到目前為止,手術沒有受到影響,急診室仍然開放,但一些救護車將被轉移到其他醫院。

Humber River醫院表示,由於系統不斷更新(最近一次修補是在 6 月 13 日)並受到監控,因此立即發現了零時差攻擊,關閉了 5,000 台電腦和所有 IT 系統,包括患者健康記錄系統。醫院補充說雖然系統關閉阻止了大多數電腦被加密,但一些檔案有被損壞。

Humber River醫院表示,其 IT 部門正在與一家外部第三方資安公司合作,以使其係統恢復正常運行, 5,000 台電腦(其中 800 台是伺服器)將被手動重啟。醫院在6月15日下午的聲明中表示,系統將在接下來的 48 小時內以交錯的方式重新上線,並表示重要的是要知道沒有任何機密資料被洩露,另外醫院也沒有指出是哪個勒索軟體組織所為。

Humber River是一家大型急診醫院,擁有722張床位,每年住院30,000人次,每年接受急診就診135,000人次。每天有近 370 人尋求緊急護理。

烏克蘭與韓國警方的聯合行動,逮捕了6名CLOP勒索軟體的幕後駭客

6 月 16 日在烏克蘭和韓國的執法機構聯合行動後,6名與 CLOP勒索軟體有關的嫌疑人已在烏克蘭被拘留。

烏克蘭國家警察和該國網路警察部門證實,在對首都基輔(Kyiv)附近地區的 21 處住宅進行搜查後,並逮捕了 6 名 CLOP勒索軟體組織的嫌疑人,目前還不清楚被告是否為CLOP勒索軟體組織的核心成員,他們被指控對美國和韓國企業的伺服器進行了勒索軟體攻擊。據稱Clop勒索軟體造成了約 5 億美元的總經濟損失。在行動之後,當局報告說他們成功關閉了CLOP用來發動過去攻擊的伺服器。當局補充道:“執法部門設法攜手關閉了用於散播勒索病毒的基礎設施,並封鎖了使其非法獲得的加密貨幣合法化的渠道”。

警方還從CLOP的幕後駭客中沒收了電腦,手機,伺服器,幾輛汽車(包括特斯拉,Lexus和賓士) 以及約 185,000 美元的現金。

據悉,CLOP 發動的攻擊可追溯到2019 年2 月,當時該組織攻擊了四家韓國企業、並加密了810 台內部伺服器和個人電腦。自那以後,CLOP涉及多起臭名昭著的勒索軟體攻擊,其中包括2020 年4 月針對美國製藥巨頭ExecuPharm 的入侵、以及11 月針對韓國電商巨頭E -Land 的攻擊(迫使該零售商關閉了將近一半的門店),韓國警方去年加大了對Clop的調查力度,在本週突襲CLOP駭客時韓國警察也親自到場。在過去的六個月裡,CLOP 一直特別忙於利用檔案傳輸設備(FTA) 中的四個不同的零時差漏洞,用來攻擊使用Accellion FTA的企業,其中包括加拿大飛機製造商龐巴迪BombardierJones Day律師事務所、資安公司Qualys和新加坡電信巨頭Singtel馬里蘭大學斯坦福大學等。

目前尚不清楚烏克蘭當局的這項執法行動將在多大程度上影響 CLOP的運作。

網路安全情報公司Intel 471表示,烏克蘭的執法突襲僅限於 CLOP 業務的套現和洗錢方面。“我們認為 CLOP 背後的任何核心參與者都沒有被逮捕,因為他們很可能住在俄羅斯。”

烏克蘭與韓國執法部門突襲Clop的影片

CLOP勒索軟體的相關情資:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42

REvil盜走跨國再生能源公司Invenergy的4 TB數據,當中還包含Invenergy億萬富豪執行長勁爆的資訊

REvil在其揭秘網站Happy Blog以標題“奧巴馬的朋友是個骯髒的變態”來介紹再生能源業者Invenergy

總部位於美國的可再生能源公司Invenergy遭到駭攻,該公司在6月11日發布了一份電子郵件聲明給彭博社並證實了這一點。據稱,該公司在其某些系統上檢測到未經授權的活動後,對其網路展開了調查,而勒索軟體REvil的背後駭客也直接在其揭秘網站公佈是他們所作的。

Invenergy 是一家跨國再生能源業者,該公司在美洲、歐洲和亞洲開發、建造、擁有和運營發電和儲能項目。其產品組合包括風能、太陽能和天然氣發電和儲能設施。它是美國六大風力發電廠所有者之一,也是北美最大的私營可再生能源發電公司。

REvil在其Happy Blog以標題“奧巴馬的朋友是個骯髒的變態”來介紹再生能源業者Invenergy

REvil在其揭秘網站Invenergy的頁面,聲稱竊取了大量數據:“我們擁有所有部門的所有資訊。項目、合約、保密協議、退稅、ssn、護照等。”為了迫使Invenergy付贖金,REvil還威脅要洩露有關Invenergy的億萬富豪執行長Michael Polsky的尷尬細節,REvil聲稱掌握了一些隱私與火辣(personal and spicy)的資訊,包含Polsky 的私人信件、有關他與第一任妻子 Maya 離婚的敏感事實以及這位富翁企業家的照片,Invenergy 沒有對這些說法發表任何評論。

Forbes報導,Polsky在 1976 年以 500 美元從蘇聯烏克蘭移民到美國後,通過建立電力公司積累了 15 億美元的財富。2007 年,一名法官裁定,Maya Polsky 女士應獲得她當時丈夫的一半現金和資產,約 1.8 億美元,這是當時歷史上最昂貴的離婚案之一。

REvil聲稱已準備好與Invenergy進行長期的交涉,最後還在 Invenergy的頁面附上了Polsky上 Forbes封面的照片。

Invenergy 表示其運營並未受到攻擊的影響,沒有數據被加密,並補充說:“Invenergy 尚未支付也不打算支付任何贖金”。

有關REvil勒索軟體的情資:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

*****竣盟科技快報歡迎轉載,但請註明出處。

美國電玩巨擘EA美商藝電遭駭,780GB的遊戲原始碼及除錯工具被竊取

EA稱這不是勒索軟體攻擊,未影響業務營運,沒有對玩家的隱私造成任何風險

Photo Credit: BBC

綜合外媒報導大型遊戲商美商藝電(EA)今坦承遭駭,內部資料被竊取,僅稱流失FIFA 國際足盟大賽和遊戲寒霜引擎Frostbite Engine原始碼和相關工具,EA 發言人在一份聲明中告訴外媒,玩家數據並未被存取,我們沒有理由相信玩家隱私存在任何風險。事件發生後,我們已加強安全措施,預計不會對我們的遊戲或業務產生影響,作為正在進行的刑事調查的一部份,我們正積極與執法部門官員和其他專家合作。

在駭客論壇上發現的消息,駭客現在正以 2800 萬美元的價格出售這批EA約780GB的數據和伺服器的存取權限,駭客還聲稱,可提供「充分利用EA所有服務的能力」。

駭客稱從該公司獲取了 780 GB 的數據:

*除錯工具、SDK 和 API 密鑰

*FIFA 21配對匹配伺服器代碼

*FIFA 22 API 密鑰和軟體開發工具包(SDK)和除錯工具

*寒霜引擎Frostbite Engine原始碼和除錯工具

*專有EA遊戲框架

*Microsoft XBOX 和 SONY 私有 SDK 和 API 密鑰

*XB PS 和 EA pfx 和 crt 密鑰

*FIFA 國際足盟大賽原始碼

*EA 玩家用作遊戲貨幣的積分

EA 在全球擁有超過 4.5 億註冊玩家,2020 年的淨收入為 55 億美元。EA其下作品包括《FIFA》、《戰鬥風雲》、《模擬市民》等長賣型作品,自家開發的「寒霜引擎」也用於許多暢銷遊戲製作。

Emsisoft資安公司的專家Brett Callow說,被竊的原始碼,可對EA的業務帶來問題,從理論上講,原始碼可以被其他開發人員複製,或在遊戲中製造外掛。Check Point發言人則說,無論如何原始碼只要外洩都不是好事,駭客可在原始碼中找到更深層的漏洞並加以利用,或將先前的原始碼在暗網上賣給其他惡意威脅行為者。

Source:

https://edition.cnn.com/2021/06/10/tech/electronic-arts-hack/index.html

https://www.theverge.com/2021/6/10/22528003/ea-data-breach-frostbite-fifa-internal-tools-hack

https://www.bbc.com/news/technology-57431987

https://www.bleepingcomputer.com/news/security/hackers-breach-gaming-giant-electronic-arts-steal-game-source-code/

認了!全球肉類供應大廠JBS付1100萬美元的贖金給REvil!

全球最大肉類加工巨頭JBS的美國分公司在6月9日一份聲明中,承認支付了支付價值 1100 萬美元(約新台幣3億800萬元)的給駭客。JBS在5月30日遭勒索軟體攻擊,旗下所有美國肉類加工廠一度全線停產,影響整個美國市場約五分之一的肉類供應,除美國之外,澳洲及加拿大的肉類加工場也被迫關閉,6月2日美國聯邦調查局(FBI)將這次攻擊歸咎於 REvil勒索軟體,隔天JBS迅速恢復系統重新上線

今JBS 美國公司執行長 Andre Nogueira 表示,公司是在大部分工廠恢復運作之後,支付贖金給駭客的,Nogueira說:“對我們公司和我個人而言,這是一個非常艱難的決定。“但是我們認為必須做出這一決定,以防止我們的客戶面臨任何潛在風險。” 該公司表示,支付贖金是為了“減輕與攻擊相關的任何不可預見的問題,並確保沒有數據被洩露”。

JBS 並不是最近第一家向俄羅斯網路犯罪分子支付贖金的企業,上個月Colonial Pipeline 也遭到DarkSide勒索軟體攻擊,並承認向 DarkSide 的背後駭客支付了 440 萬美元的比特幣,6月7日美國司法部宣布成功追回Colonial Pipeline被勒索的多半贖金。

聯邦調查局敦促被駭客攻擊的公司和組織避免支付贖金,指出付贖金不能保證會結束網路攻擊,並表示被駭客勒贖的公司應向治安單位求助。

有關REvil勒索軟體的情資:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

威剛遭駭的幕後黑手,Ragnar Locker勒索軟體!外媒爆駭客已盜取威剛1.5TB機密資訊,今已流出47.3MB數據

自4月27日起臺灣證交所規定,上市公司若發現重大資通安全事件,必須及時發布重訊,在5月26記憶體大廠威剛科技(ADATA)揭露受到勒索軟體攻擊,成了首間因重大資安事件而發布重訊的公司,但當時沒有透露為哪一支勒索軟體所為,今根據印度網站科技Nadu的報導, Ragnar Locker的背後駭客已在其揭秘網站上發佈有關ADATA的資料,稱是他們駭入ADATA的系統並已盜出 1.5TB 機密資訊,為了證明此言非虛,現已釋出一個名為”Proof Pack archive with gitlab” 檔案內含合約協議、存取檔案系統的螢幕截圖(screenshots of accessed filesystems)、電路板電路圖、法律文件、保密協議等。

另外駭客堅稱,他們確實提出“幫助”威剛修復漏洞並恢復他們的系統,但該公司拒絕合作,使他們不得不發佈其數據。目前駭客沒有透露索取贖金的金額也不清楚之後會否公開其他數據。

Ragnar Locker的揭秘網站上受害者名單
Ragnar Locker的揭秘網站上ADATA的頁面,駭客釋出47.3MB的數據供下載

據信ADATA事件,是Ragnar Locker勒索軟體的毒手首次伸延至臺灣企業。Ragnar Locker在國外其實臭名昭著,美國FBI 在2020 年 11 月發佈編號為MU-000140-MW的Flash Alert,警告各行業小心提防Ragnar Locker的攻擊。

Know about Ragnar Locker:

Ragnar Locker勒索軟體於2019年12月底首次被發現,它與Lockbit曾是Maze於2020年6月份成立的Maze Cartel勒索聯盟的一員,該聯盟旨在分享受害者資訊,攻擊手法和策略,目的在於提高攻擊和勒索效率,建立一個互惠互利的關係。Ragnar Locker常瞄準大型企業,要求的贖金規模通常在1,000萬美元左右。

Ragnar Locker曾攻擊的知名受害企業包括:

*日本知名遊戲大廠卡普空,被盜1TB 數據,勒索1100萬美元的贖金

*義大利酒商Campari Group,被盜多達2TB未加密的檔案,提出高達1,500萬美元的贖金要求

*法國貨櫃船運業者CMA CGM ,要求1,000萬美元的贖金,最後CMA CGM以450萬美元支付贖金。

*葡萄牙跨國能源巨頭Energias de Portugal竊取了 10 TB 的,勒索1100萬美元的贖金

有關Ragnar Locker勒索軟體的情資:

https://otx.alienvault.com/pulse/5fb7f6cd3444c292042e41db

https://otx.alienvault.com/pulse/5ee0fecd7663ca5837037ea0

美國司法部將勒索軟體調查的優先級提高到等同於恐怖主義(Terrorism),另白宮發公開信敦促美企嚴謹應對勒索軟體的風險

美國6月3日上午消息,美國司法部官員稱,在輸油管道公司 Colonial Pipeline遭遇駭攻,以及網路犯罪造成的損害不斷增加之後,美國司法部正在提升對勒索攻擊的調查等級,提升至與恐怖主義案件類似的優先級別。根據一份在周四發給全美各地檢察官辦公室的內部指南,稱勒索調查應與華盛頓最近成立的特別專案小組集中協調。

上個月,操作DarkSide勒索軟體的駭客組織攻擊美國東岸輸油管道,導致系統癱瘓,駭客要求Colonial Pipeline支付約500萬美元以換取解密工具。司法部在指南中表示,勒索軟體和數位勒索對國家構成的威脅日益增加,為了應對危機,美國認為應該加強追蹤能力。

另據NBC報導,拜登政府正在採取行動,將勒索軟體攻擊視為“國家安全威脅”,利用情報機構監視外國罪犯,並考慮對俄羅斯境內的駭客進行攻擊性網路行動。

司法部決定對勒索軟體予以打擊,此舉說明它的優先順序已經提升;以前美國司法部只是用這種方式對付恐怖主義,不包括勒索軟體。在操作過程中,未來美國檢察官辦公室在處理勒索軟體相關案件時,可能會與華盛頓分享案件詳細資訊和技術資訊。

另外,美國白宮向企業發公開信,促請企業緊急行動應對勒索軟體威脅。信件由美國國家安全委員會首席網路安全顧問Anne Neuberger發出,信中促請企業認真對待勒索軟體罪行,確保企業數位防禦可應對威脅。信件亦表示,視勒索軟體為核心業務營運威脅多於視之為數據盜竊風險的企業,在回應及恢復時會更具效率。白宮表示在應對勒索軟體攻擊問題上,美國政府正在與世界各國合作,追究勒索軟體參與者和窩藏他們的國家的責任,敦促各公司加大力度處理勒索軟體攻擊的威脅。

Neuberger還強調了幫助防禦勒索軟體攻擊的最佳實踐:

*實施拜登總統行政命令中的五個最佳實踐

*備份您的數據、系統images和配置,定期對其進行測試,並使備份保持離線狀態

*及時更新和修補系統

*測試您的事件回應計劃

*使用第三方滲透測試檢查您的安全團隊的工作

*細分您的網路

在過去 30 天內發生了幾起勒索軟體事件(Colonial Pipeline關閉了美國最大的管道,全球最大的肉類加工商 JBS 也被迫停產等)影響了美國關鍵企業之後,白宮發布了這封信,所有這些攻擊,據信都是由俄羅斯的網絡路犯罪組織精心策劃的。

日本富士軟片 (FUJIFILM )為對抗潛在的勒索軟體攻擊,關閉系統,斷開與外部連線

Key Points:

*這家日本公司週三表示,它在 6 月 1 日晚上發現到遭勒索軟體攻擊的可能性,並採取措施暫停所有受影響的系統。

*富士軟片控股公司 (FUJIFILM)正在調查從公司外部的非法第三方存取其伺服器的資安事件

*FUJIFILM表示正在努力確認未經授權存取的規模

根據東京路透社6 月3日報導——FUJIFILM在6 月2日宣布,由於1日午夜發現到勒索軟體攻擊的可能性,確認其使用的伺服器涉嫌被外部非法存取,正在調查資料是否外洩。FUJIFILM為了防止損害擴大,關閉網路並與外部通信斷開連接,目前無法通過電話或電子郵件回覆客戶,系統恢復時間也未定。

FUJIFILM這家跨國公司最出名的是照相機和底片製造商——最近也生產高科技醫療設備,包括用於快速處理 Covid-19 測試的設備。

根據新西蘭先驅報,FUJIFILM當地合夥人收到的電郵上說,“FUJIFILM將關閉網路和伺服器環境,因此將無法接收和履行訂單,我們意識到這對業務產生了重大影響,但目前尚不清楚這種情況會持續多久。”

雖然 FUJIFILM 沒有說明遭到哪個勒索軟體組織的攻擊,但資安公司Advanced Intel的CEO Vitali Kremez 告訴 BleepingComputer,他們追踪到FUJIFILM 在上個月(似乎5 月 15 日)感染了Qbot 惡意軟體,QBot是一種木馬,用於資料竊或潛入網路,並被REvil 勒索軟體的幕後駭客廣泛利用。

FUJIFILM全球員工超過 37,000 名,在2020 年的收入超過 200 億美元,無疑是網路犯罪分子有利可圖的目標。