QNAP威聯通NAS設備第三次遭到 DeadBolt 勒索軟體攻擊

Deadbolt勒索軟體鎖定使用 QTS 4.3.6 和 QTS 4.4.1 的 QNAP NAS 設備,QNAP呼籲所有 NAS 用戶儘速檢查並更新 QTS 至最新版本,並避免將 NAS 暴露於互聯網上。

台灣網路附加存儲 (NAS) 設備製造商 QNAP 週四(5/19),證實正在對新一波DeadBolt的攻擊進行調查,據其產品安全事件回應團隊稱,此次攻擊鎖定使用 QTS 4.3.6 與 QTS 4.4.1 的 NAS 設備,受影響機型以 TS-x51 系列及 TS-x53 系列為主。QNAP 呼籲所有 NAS 用戶儘速檢查並更新 QTS 至最新版本,並避免將 NAS 暴露於互聯網上。

這一事件標誌著 QNAP 設備自今年年初以來第三次受到DeadBolt 勒索軟體的攻擊。今年1 月QNAP警告用戶,名為 DeadBolt的一種新勒索軟體利用所謂零時差漏洞廣泛針對其NAS設備。DeadBolt在對QNAP設備的持續攻擊中加密用戶數據並需支付比特幣解密,使多達 4,988 台受DeadBolt 勒索軟體攻擊的 QNAP 設備被發現,促使該公司發布了強制韌體更新,3 月中旬觀察到Deadbolt第二次攻擊的新案例,發現超過 1,000 台 QNAP QTS 設備已被 DeadBolt 勒索軟體感染。

由於QNAP在公告中沒有提及任何漏洞利用(CVE),目前尚不清楚 DeadBolt 勒索軟體攻擊者是否正在利用特定漏洞。QNAP也沒有透露有關最近發現多少台設備遭攻擊,但表示他們沒有看到任何涉及已更新的系統遭 Deadbolt感染。 Palo Alto Networks的Unit 42 週一在 Twitter 上表示,觀察到最新一波的 DeadBolt 攻擊QNAP NAS 設備是從 5 月 13 日開始的,發現了大約 3000 個受感染設備。

QNAP 設備的最新攻擊突出了一個持續修補的重要性,如果仍然存在許多暴露的實例,這代表了在最新攻擊之後更新的緊迫性。

美國和其他政府機構最近發布的聯合網路安全諮詢警告企業,最常見的錯誤和安全弱點使攻擊者能夠獲得內部網路的初始存取權限,這包括暴露在公共互聯網上的配置錯誤的服務,以及開放的端口和過時的軟體。

QNAP 建議用戶關閉Port Forwarding功能以停止將 NAS 設備暴露在互聯網上。

LockBit2.0鎖定台灣了?! 5月上、中旬已見四家台灣企業,遭LockBit2.0勒索軟體的攻擊

LockBit 2.0勒索軟體聲稱攻擊了台灣某背光模組大廠和其子公司

據觀察,勒索軟體LockBit 2.0已在5月上、中旬,攻擊了四間不同的台灣企業,大肆在其揭秘網站上公告受害名單。當中引人關注的是一間上市的背光模組大廠與其子公司疑同時遭LockBit 2.0的毒手,LockBit揚言已竊得母公司和子公司的機密資料,包括apps的原始碼、財務報告、員工個資等超過 3 千份檔案。據了解母公司和子公司分別位於不同的縣市,該母公司的主要生產廠房遍佈台灣及大陸多個地區。截至目前,在公開資訊觀測站上沒有看到該母公司發佈重訊的相關訊息,另外,LockBit2.0聲稱會在5月18日發布從該母公司及子公司盜來的資料,但目前尚未看到任何公開流出的檔案。

另外,一家位於新北市的電線公司和一家位於台中的對講機製造廠商也成為LockBit 2.0的受害者。

LockBit 的演變,LockBit是目前其中最成功的勒索軟體即服務(Ransomware-as-a-Service;RaaS)之一,Photo Credit: Kaspersky

LockBit在2021年6月推出升級版 LockBit 2.0 以來,承諾通過名為StealBit的新工具提供市場上最快的數據上傳速度,該工具還支援實時壓縮和拖放功能,對安全工具保持隱藏。根據 LockBit 的承諾,它可以在不到 20 分鐘的時間內從受感染的系統下載 100 GB 的數據,攻擊的企業數量比以往更多。8月初,BleepingComputer曾報導,LockBit2.0積極招募目標企業的內鬼,幫助他們入侵和加密企業的網路,並會以百萬美元作為報酬。LockBit2.0能利用 Active Directory (AD) 的群組原則,自動將 Windows 網域內所有裝置加密,使攻擊更加有效,之後LockBit 2.0還在其工具包中增加一個針對 VMware ESXi虛擬化系統中的Linux加密器。

美國FBI(聯邦調查局)在2022年2月針對LockBit發布了CU-000162-MW的Flash Alert警報,提供了與 LockBit 勒索軟體攻擊相關的技術細節和入侵指標。FBI 建議網絡安全人員要求使用強密碼、多因素身份驗證和更新軟件等,以降低 LockBit 2.0 勒索軟件的危害風險。

在過去Lockbit2.0曾攻擊過的台灣企業:

2021年10月某製造業成衣副料商àhttps://blog.billows.com.tw/?p=1411

2021年11月上市營建公司日勝生及該集團旗下百貨京站也遭LockBit2.0攻擊

2022 年 4 月某一飲料原物料商àhttps://blog.billows.com.tw/?p=1833

有關LockBit2.0的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://45.32.108.54:443/c0000015.log

http://45.32.108.54:443/glib-2.0.dll

IPv4: 149.28.137.7

SHA 1:

e35a702db47cb11337f523933acd3bce2f60346d

729eb505c36c08860c4408db7be85d707bdcbf1b

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

1458421f0a4fe3acc72a1246b80336dc4138dd4b

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

加拿大空戰訓練服務承包商Top Aces和日本流行服飾しまむら思夢樂,遭LockBit2.0攻擊! Top Aces被盜44GB的數據;思夢樂旗下2200間店舖受影響,無法訂購及電子付款

5月11日,加拿大私人假想敵公司 Top Aces透露,旗下美國分公司在調查針對其內部系統遭勒索軟體攻擊的事件,據The Record報導,Top Aces在發現被列為LockBit 2.0勒索軟體的受害者後,正展開調查。操作LockBit 2.0勒索軟體背後駭客已要求Top Aces在 5 月 15 日之前付贖金,以換取不外洩屬於Top Aces約 44 GB的數據。Top Aces擁有全球規模最大的私營戰鬥機機隊,用於為世界各地的軍隊提供訓練,除了與加拿大、德國、以色列等國家合作外,該公司還於2019年與美國簽署了一項協議,為防禦俄羅斯提供訓練工具。資安公司Emsisoft的威脅分析師 Brett Callow指出,對國防承包商的攻擊令人擔憂,因為無法知道被盜數據最終會落在哪裡。

思夢樂公告

日本大型服裝連鎖企業思夢樂5月11日透露,在日本黃金週假期間,其內部系統遭駭客入侵造成系統異常,無法在店舖進行電子支付和線上產品訂購,多達2200間商店受影響。NHK報導思夢樂防止損害的進一步擴大,在5月5日暫停所有店面電子支付,6日因確認安全性,恢復電子結帳,但目前2200間店舖仍無法提供店面無現貨的商品訂購服務。

根據觀察,LockBit 2.0聲稱取得思夢樂超過 16Gb的數據,要求思夢樂在5月16日前支付贖金,另外,思夢樂表示,目前未發現有客戶或員工的個資外流。

LockBit 仍然是最活躍的勒索軟體組織之一,去年發生了數百次攻擊。根據 Recorded Future 收集的數據,今年到目前為止,他們已經攻擊了至少 650 個組織。

Photo Credit: The Record

有關LockBit2.0的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://45.32.108.54:443/c0000015.log

http://45.32.108.54:443/glib-2.0.dll

IPv4: 149.28.137.7

SHA 1:

e35a702db47cb11337f523933acd3bce2f60346d

729eb505c36c08860c4408db7be85d707bdcbf1b

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

1458421f0a4fe3acc72a1246b80336dc4138dd4b

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

繼哥斯大黎加因Conti的攻擊全國進入緊急狀態後,另一拉丁美洲政府”秘魯” 也遭Conti的毒手!

操作Conti 勒索軟體背後駭客聲稱入侵了秘魯國家中央情報局( Dirección General de Inteligencia -DIGMIN) 並將其列為受害者,有關資訊也同時發布在Conti的揭秘網站Conti Leaks上,國家情報局DIGMIN是秘魯首屈一指的情報機構。該機構負責國家、軍事和警察情報以及反情報工作,Conti目前已公開了聲稱從情報局竊取得來9.41 GB 數據,作為入侵證據。

目前仍然無法存取秘魯國家情報局的網站

根據觀察,操作Conti 勒索軟體的背後駭客在其揭秘網站聲稱秘魯拒絕與他們溝通,並表示已在秘魯政府幾乎所有的國家機構網路中安裝了後門,警告稱如果秘魯當局再不透過情報局跟他們聯繫,將會像哥斯達黎加一樣有嚴重的後果,然而秘魯政府沒有就此發表任何聲明。值得一提的是,在Conti攻擊秘魯的事件中,國家情報局特別指出,它們網路上的數據沒有被加密。駭客組織對情報機構的攻擊可能導致包括財務機密、機密數據和文件和安全策略的外洩露,並對國家安全構成風險。

Conti於4月下旬入侵了哥斯達黎加多個政府系統,癱瘓海關及稅務系統,獲得對大約800台伺服器的存取權,其中近 1TB 的數據已被洩露,目前有資安專家已針對一小部分外洩數據進行初步分析,結果顯示原始碼和SQL數據庫確實來自哥國政府網站。另外Conti的攻擊影響了其他政府部門,包括財政部、科創部、勞動部與社會保障部、社會發展與家庭津貼基金、國家氣象研究所、哥斯達黎加社會保障基金、阿拉胡埃拉市各大學主校等,使哥國總統宣布國家緊急狀態。

上週,美國國務院懸賞高達 1500 萬美元的獎金,以重金徵求識別和定位 Conti 勒索軟體組織的領導和同謀的資訊。該獎勵是由國務院的跨國有組織犯罪獎勵計劃 (Transnational Organized Crime Rewards Program,TOCRP) 提供的。美國當局將提供1000萬美元給提供資訊協助逮捕Conti首腦的線民,同時額外提供 500萬美元給提供資訊協助逮捕Conti其他成員的資訊。

美資安研究揭中國APT駭客組織Winnti以企業ERP系統存在的漏洞,作為切入點,數年來一直竊取涉及美歐亞30企業的商業機密

資安公司Cyber​​eason的研究指出,Winnti(也稱為 APT41、Blackfly 和 BARIUM)是一個效力於中國政府的駭客組織,自 2010 年以來一直很活躍,以複雜、隱秘和專注於竊取技術機密而聞名,這次的發現是Winnti以名為CuckooBees的間諜行動多次的入侵製造、科技、能源和製藥等產業的約30家跨國公司並竊取了大量商業機密和智慧財產,該網路竊密行動至少可以回溯到2019年,但直到最近才曝光。Cyber​​eason 發布了兩份與 CuckooBees 行動相關的報告,第一份是關於Winnti 的入侵策略和獨特性,第二份則是關於Winnti所使用的惡意軟體和漏洞的深入分析。 

攻擊鏈和有效負載部署是通過“紙牌屋”方法實現的,每個組件都依賴於其他組件才能正常運行,這使得單獨分析每個組件變得困難。

根據Cybereason的調查,自網路間諜活動開始以來,Winnti迄今已從 30 多個全球組織竊取了數百 GB 的數據包括藍圖、圖表、配方和與製造相關的專有數據和其他商業機密。此外,Cyber​​eason表示,Winnti還收集了有關目標組織的網路架構、用戶帳戶、憑證、客戶數據和業務的詳細資料,攻擊者可以在未來的攻擊中利用這些資料。Cyber​​eason的調查還揭示從CuckooBees行動中發現Winnti的武器庫中新增了前以被未記錄名為DEPLOYLOG的新惡意軟體,其有效負載隱藏和檢測規避是基於對 Windows CLFS 功能的濫用。此外,Winnti也在攻擊中使用已知的惡意軟體,包括Spyder Loader,PRIVATELOG和WINNKIT等。

入侵調查揭示了入侵始於駭客利用企業資源規劃 (ERP)平台中存有的遠端程式碼執行漏洞,在ERP Web 應用程式伺服器上部署JSB WebShell後門以保持持久性,並開始網路偵察和憑證轉儲,這進一步允許橫向移動,最終導致敏感數據從關鍵伺服器和員工的端點外洩。在CuckooBees 行動中使用Winnti多種持久性技術。第一個是刪除 WebShell 的 VBScript 版本,使用 wscript 執行它,然後將結果複製到外部可存取的檔案夾中。第二種持久性方法提供了一個額外的備份切入點,涉及修改 WinRM 遠端管理協議以啟用 HTTP 和 HTTPS 偵聽器以進行遠端 shell存取。

觀察到的Winnti攻擊鏈,Photo credit: Cybereason

第三種方法利用簽名的內核 rootkit,而第四種技術濫用合法的IKEEXT和PrintNotify Windows 服務來側載 Winnti DLL 並保持持久性。最初的偵察使用內置的 Windows 命令來收集有關受感染服務器的信息。一旦在多台機器上建立了立足點,Winnti 就開始使用計劃任務來執行不同機器之間不同的batch scripts,並根據攻擊者的目標使用不同的命令。憑證轉儲使用了兩種方法:reg save 命令和名為MFSDLL.Exe的未知工具,已知的 reg save 用於轉儲SYSTEM、SAM和SECURITY註冊表配置單元,使攻擊者能夠在本地破解密碼的hash。Cyber​​eason 無法恢復 MFSDLL 的樣本,但已經了解了它的使用方式和載入內容,它載入了一個名為mktzx64.dll的 DLL ,該 DLL與 Mimikatz 工具的使用有關。

Winnti 使用受被入侵感染的網域管理員憑證,進而使用scheduled tasks在數十台受感染的電腦上執行命令,使其能夠橫向移動並使用被盜憑證感染大量主機。

對於數據收集,攻擊者使用重新命名的中文版本的WinRAR來建立包含被盜數據的密碼保護檔案,並被重新命名為rundll32.exe偽裝成其他Windows系統檔案。

Cybereason認為,在諸如CuckooBees行動等駭客攻擊活動中最常見被利用的安全漏洞包含因為系統未打修補、網路分段不足、資產不受管理、帳戶被遺忘以及缺乏多因素身份驗證產品。儘管這些漏洞看起來很容易修復,但當今的安全性很複雜,大規模實施緩解措施並不總是那麼容易。防禦者應遵循 MITRE或類似框架,以確保他們擁有適當的可見性、檢測和補救能力來保護他們的最關鍵的資產。

另外,鑑於攻擊的複雜程度以及該活動於 2019 年發起且直到去年才被發現的事實,全球可能還有更多受害者。

AvosLocker勒索軟體的變種濫用驅動程式檔案以禁用防毒軟體,藉以掃描Log4j漏洞

Photo Credit: TrendMicro

資安研究人員披露了 AvosLocker勒索軟體的一種新變種,該變​​種通過利用未修補的安全漏洞log4shell,在破壞目標網路後禁用防毒軟體以逃避檢測, TrendMicro研究人員 Christoper Ordonez 和 Alvin Nieto在5月2日的研究分析中說,我們從美國觀察到的一種AvosLocker新變種的第一個樣本,該變種能使用合法的 Avast Anti-Rootkit 驅動程式檔案 (asWarPot.sys) 禁用防禦解決方案, AvosLocker勒索軟體還能夠使用 Nmap NSE Script掃描多個端點以查找Log4j漏洞,以將回調伺服器傳輸到其惡意中繼站。

AvosLocker是一個基於勒索軟體即服務(Ransomware as a Service, RaaS)組織,於 2021年7月首次被發現,與針對美國關鍵基礎設施(包括金融服務和政府設施)的一系列攻擊有關,如果受害目標實體拒絕支付贖金,AvosLocker通過拍賣從受害者那裡竊取的數據來實施雙重勒索。根據在2022 年 3 月的美國FBI發布的一份資安警告,AvosLocker勒索軟體聲稱的其他目標受害者位於敘利亞、沙特阿拉伯、德國、西班牙、比利時、土耳其、阿聯酋、英國、加拿大、中國和台灣,在2021 年 7 月 1 日至 2022 年 2 月 28 日期間,食品和飲料行業是受災最嚴重的行業,其次是技術、金融、電信和媒體業。

攻擊的入口點被認為是通過利用 Zoho的ManageEngine ADSelfService Plus 軟體中的遠端程式執行漏洞( CVE-2021-40539 )來運行託管在遠端伺服器上的 HTML 應用程式 ( HTA ) 來達成的。HTA執行了一個混淆的PowerShell 腳本,其中包含一個 shellcode,能夠連接回C2伺服器以執行任意命令,這包括從伺服器檢索 ASPX Web shell 以及AnyDesk遠端桌面軟體的安裝程式,後者用於部署其他工具以掃描本地網路、終止安全軟體並刪除勒索軟體有效負載。

複製到受感染端點的是一個 Nmap 腳本,用於掃描網路以查找 Log4Shell 遠端程式碼執行漏洞 ( CVE-2021-44228 ),以及一個名為 PDQ 的大規模部署工具,用於向多個端點傳遞惡意Batch script。Batch scrip配備了廣泛的功能,允許它禁用 Windows 更新、Windows Defender 和 Windows 錯誤恢復,此外還可以阻止安全產品的啟動執行、建立新的管理員用戶以及啟動勒索軟體二進製檔案。

另外,AvosLocker還使用了aswArPot.sys,一個合法的 Avast 反 rootkit 驅動程式,來阻止與不同安全解決方案相關的進程,其舊版本中存在漏洞,捷克資安公司Avast於 2021 年 6 月解決的驅動程式中已修補了漏洞。Avast表示,已與微軟密切合作,在 Windows 操作系統(10 和 11)中發布了一個組塊,無法將舊版本的 Avast 驅動程式加載到memory中,因此運行完全更新的Windows 10 和 11的系統不易受到此類攻擊。

AvosLocker 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98

ddcb0e99f27e79d3536a15e0d51f7f33c38b2ae48677570f36f5e92863db5a96

a5ad3355f55e1a15baefea83ce81d038531af516f47716018b1dedf04f081f15

912018ab3c6b16b39ee84f17745ff0c80a33cee241013ec35d0281e40c0658d9

14f0c4ce32821a7d25ea5e016ea26067d6615e3336c3baa854ea37a290a462a8

05ba2df0033e3cd5b987d66b6de545df439d338a20165c0ba96cde8a74e463e5

中國APT駭客組織Naikon透過新的間諜攻擊,重新浮出水面

資安研究員發現,在最近幾週,名為Naikon的中國APT駭客組織又重新露面,並發起了新的網路釣魚攻擊,再次針對東南亞國家,旨在竊取政府機構的情報資訊。

Naikon也稱為Override Panda、Hellsing 和 Bronze Geneva,至少自 2005 年以來,該組織就以代表中國政府利益展開針對亞太地區國家(如文萊、柬埔寨、印度尼西亞、老撾、馬來西亞、緬甸、菲律賓、新加坡、泰國和越南等)的情報收集行動。資安公司Cluster25在這數週發現的攻擊中,觀察到Naikon的攻擊鏈涉及使用附加到網路釣魚電子郵件的誘餌檔案,這些檔案旨在誘使目標受害者打開並使用惡意軟體危害受目標。去年4月,Naikon與針對東南亞的軍事組織的廣泛網路間諜活動有關,研究也指出在2021年8月發現Naikon參與了2020年底針對東南亞地區電信行業的網路攻擊。

Photo Credit: Cluster 25

Cluster25表示Naikon最新的攻擊與之前間諜活動沒有什麼不同,利用武器化的 Microsoft Office 檔案來啟動感染攻擊鏈,Naikon使用網路釣魚電郵來投遞名為“Viper”的紅隊的紅隊框架的信標,旨在啟動和執行一個載入型的 Shellcode Loader。

據了解,Viper是一種開源的滲透測試工具並可從GitHub下載,是一款由中國人開發的工具,大部分文檔都是用簡體中文編寫的。Viper具有圖形化的操作界面,讓用戶使用瀏覽器即可進行內網滲透。與 CobaltStrike工具 一樣,Viper允許輕鬆生成有效負載,例如 Meterpreter、ReverseShell 和其他自定義的信標。據說, Viper具有 80 多個模組,使駭客能建立初始入侵存取、保持持久性、權限升級、憑證存取、橫向移動和執行任意指令等。

研究人員指出在分析過程中,通過觀察 Naikon的駭客武器庫,可以得出結論,該組織傾向於進行長期的情報和間諜活動,是典型旨在對外國政府和官員進行攻擊的組織,同時,Naikon為了避免檢測並最大化結果,隨著時間的推移更改了不同的 TTPs 和工具。Cluster25 在報告中表示,鑑於Naikon早期的攻擊的歷史,這次攻擊的目標極很可能同樣是針對東南亞國家的政府機構。

有關Naikon的部分入侵指標(Indicator of compromise -IOCs):

SHA256        05936ed2436f57237e7773d3b6095e8df46821a62da49985c98be34136594ebd

SHA256        8b831ee82975d43456ee861115272d3923e17f07a702eb057feeed8ce76ff4ca

SHA256        ee50160fdd7cacb7d250f83c48efa55ae0479e47a1eece9c08fe387453b9492a

SHA256   eeb5dc51e3828ffbefc290dc1a973c5afc89ba7ff43ab337d5a3b3dc6ca4216f

群暉Synology就多個產品中存在重大的Netatalk漏洞發出警告

Synology群暉科技針對影響其產品中的重大的Netatalk漏洞發布了公告,目前已針對 DSM 7.1 發布了更新,升級至7.1-42661-1 可修補漏洞,但並非在所有設備上提供自動更新,Synology NAS 用戶可以手動將其操作系統升級到最新版本,Synology其他版本仍受到影響。如果您正在使用 AFP服務,請立即關閉(Disable)它。根據 bleepingComputer報導,Synology警告用戶,其部分網路附加存儲 (NAS) 設備的操作系統中存在重大的Netatalk 漏洞,面臨被駭客鎖定開採的風險。Synology 目前使用舊版本的 Netatalk 來運行 Apple網路協議,結果發現了一些嚴重的漏洞,威聯通Qnap也曾對這些漏洞發出警告,漏洞能讓攻擊者可以遠端獲取敏感數據並執行遠端任意程式碼,漏洞存在於 Synology 的 DiskStation Manager 操作系統、VS 韌體2.3 和 Synology Router Manager 1.2 的不同版本中。

Netatalk 是一種Apple Filing Protocol的開源軟體,它允許運行 *NIX/*BSD 的系統充當 macOS 用戶端的 AppleShare 檔案伺服器。Netatalk 開發團隊解決了3.1.1 版本中的安全漏洞,該版本於 3 月 22 日發布。Synology 目前正在努力更新,在易受攻擊的 NAS 系統上實施此修補,目前SM 7.1 的 7.1-42661-1 版本已修補漏洞,該公司表示,目前其他版本的修補仍在進行中。

Netatalk 漏洞

本週早些時候,另一家台灣 NAS 設備製造商 QNAP 敦促其客戶禁用其 NAS 設備的 AFP服務協議,直到它修補了關鍵的 Netatalk 安全漏洞。

威聯通表示,Netatalk 漏洞影響多個 QTS 和 QuTS hero 操作系統版本以及公司的雲端優化 NAS 操作系統 QuTScloud。

與 Synology 一樣,QNAP 已經為其中一個受影響的操作系統版本發布了修補,並且已經為運行 QTS 4.5.4.2012 build 20220419 及更高版本的設備提供了修補復程式,鑑於漏洞的嚴重性,呼籲用戶密切關注更新及版的本修補。

Stormous勒索軟體組織聲稱入侵了可口可樂,竊取了161 GB 的數據,可口可樂表示已展開調查

Stormous在暗網上正以約 64,000 美元的價格出售這批數據,據稱包含財務數據、管理檔、電子郵件和密碼的文檔、用戶和支付資料等及壓縮檔,共13個檔。

Stormous在暗網上出售可口可樂的數據

4月26日Stormous勒索軟體組織在其Telegram頻道上,宣布入侵了跨國飲料公司可口可樂,並從一些可口可樂的伺服器中竊取了 161GB的數據。

Stormous在Telegram頻道上宣布入侵了可口可樂

在這之前,Stormous於4月20日在Telegram發起了一項線上投票活動,要其 Telegram頻道的追隨者投票決定誰應該成為他們下一個攻擊的受害者,並承諾攻擊將包括DDoS、數據入侵、外洩露軟體源始碼和客戶端數據,可口可樂以 72% 的選票贏得了該項活動,最終成為攻擊的對象。

Stormous在Telegram發起線上投票活動

Stormous是一個相對較新的勒索軟體組織的名字,於今年第一季度初出現,但目前沒有跡象顯示在受害者網路植入加密資料的檔案,在 Stormous宣布從 Epic Games 竊取約200 GB 數據後,開始獲得了關注。雖然Stormous並未表示將可口可樂對作為支持烏克蘭的報復,但在俄羅斯入侵烏克蘭後不久,Stormous迅速追隨勒索軟體Conti腳步,並宣布支持俄羅斯。可口可樂此前暫停了在俄羅斯的業務,並承諾捐款約150億美元,以援助和支持紅十字會和烏克蘭的救援工作。

可口可樂公司尚未證實他們的數據被盜,但目前正在與執法部門合作,正在調查這起事件。

Conti勒索軟體入侵哥斯達黎加,多個政府系統遭攻擊,破壞哥國過渡新政府的穩定

哥斯達黎加在Conti Leaks上的頁面
哥斯達黎加在Conti Leaks上的更新頁面
總統Carlos Alvarado Quesada告訴公眾,哥斯達黎加不會支付贖金

據哥斯達黎加總統Carlos Alvarado Quesada稱,哥斯達黎加政府營運的多個系統上周遭到勒索軟體攻擊。綜合資安外媒的報導,財政部是上周一(4/18)第一個報告遭入侵且受攻擊最嚴重的部門,從稅款徵收到通過海關機構的進出口過程,其許多系統都受到了影響,最初的攻擊迫使財政部關閉負責支付該國公職人員薪水和養老金的系統,同時也使哥國不得不批准延期納稅,並證實駭客檢索了納稅人的個資,哥國暫停運營幾個線上海關和稅務平台作為因應措施,據路透社報導,該國出口商工會表示,僅上週三(4/20)就損失了 2 億美元。根據操作Conti的駭客在Conti Leaks上表示,已經獲得了對大約800台伺服器的存取權,其中近 1TB 的數據已被洩露,其中包括 900GB 的稅務管理portal網站——或ATV – MSSQL mdf 格式的數據庫和 100GB 的內部檔案,其中包含財政部人員的全名和電子郵件地址。

另外,科創部負責人Paola Vega Castillo上週三在新聞發佈會上證實,操作Conti的駭客對哥國科創部、勞動部、國家氣象研究所和社會保障機構的人力資源系統等進行了攻擊。Castillo 表示,雖然他的部門網頁的內容已被修改,但沒有發現任何證據表明該部門的任何數據已被提取,在駭客攻擊國家氣象研究所和社會保障機構中檢測到了提取電子郵件檔案的過程。

科創部網站被Conti入侵

哥國企業擔心勒索軟體可能已經滲透了他們提供給政府的機密資料,這些數據的洩露可能會給這些組織帶來嚴重風險。

哥國於 4 月 4 日選出了一位新總統——前世界銀行官員Rodrigo Chaves,即將卸任的總統Carlos Alvarado Quesada表示,他認為攻擊是用於威脅該國過渡新政府的穩定, Quesada簽署了一項指令,要求所有政府機構都必須向該國的電腦安全事件回應中心報告安全事件。該指令還命令所有機構修補系統、更改密碼、禁用不必要的端口和監控網路基礎設施。總統府部長 Geannina Dinarte Romero 表示 ,以色列、西班牙、美國和微軟等已提出幫助哥斯達黎加重新控制其電腦系統。

此次攻擊恰逢包括英國和美國在內的五眼聯盟發出安全聯合諮詢,警告稱俄羅斯網路犯罪活動升級,對組織構成成更大的風險,建議增強關鍵基礎設施的防護.