SolarWinds事件2.0,REvil鎖定Kaseya VSA軟體發動大規模供應鏈勒索攻擊,過百間公司遭駭,全球客戶感染勒索軟體

美國CISA呼籲立即關閉Kaseya的VSA 伺服器

在美國迎來7/4國慶日之際,REvil 勒索軟體的幕後駭客投下震撼蛋,他們被發現通過IT供應商Kaseya的VSA軟體的自動更新,將其勒索軟體散播到最少8間MSP和200間企業的網路中,造成史上最大供應鏈勒索攻擊。

這起件事是REvil利用許多託管服務提供商 (MSP) 使用的Kaseya VSA 端點監控軟體進行廣泛的供應鏈攻擊。據知REvil獲得了Kaseya 基礎設施的存取權限,並使用受感染的Kaseya VSA軟體的更新在企業網路上部署勒索軟體藉以加密企業,勒索贖金。

外媒取得其中一封Kaseya事件中受害公司的贖索信,要求高達5百萬美元的贖金,目前不清楚是否每間受害公司需付同樣金額,或每個MSP是否有個別的勒索信

根據外媒報導,受感染的Kaseya惡意更新從VSA 的on prem伺服器,透過使用內部scripting引擎,將勒索軟體部署到所有連接的客戶端系統,Kaseya 敦促所有 IT 管理服務提供商 (MSP) 客戶立即關閉on prem設備,以防止攻擊在調查過程中蔓延。此外,除了建議客戶關閉他們的VSA伺服器之外,為了阻止惡意更新的傳播,並試圖將 REvil從其系統中剷除,Kaseya 還關閉了自己的雲端基礎設施。

投遞: REvil通過 Kaseya中的自動軟體更新

REvil立即停止管理員存取 VSA

再把這些檔案丟去客戶端的系統上:

Propagation

Kaseya VSA 的設計是以高管理員系統權限運行,REvil使用惡意動態連結程式庫,該庫由合法 Windows Defender 反惡意軟體程式的簽名副本執行,以加密受害者數據。作為攻擊鏈的一部分,惡意軟體執行代碼通過 PowerShell 腳本,禁用 Microsoft Defender for Endpoint 的即時監控、腳本掃描、受控

檔案夾存取(勒索軟體防護功能)、入侵保護系統、雲端查找和樣本提交以及網路保護功能。

powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend

IoCs

d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e

8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd

e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2

美國網路安全和基礎設施安全局 (CISA) 表示,目前正在針對此攻擊採取行動,以了解並解決此事件。

REvil勒索軟體的情資: 

REvil ransomware Linux version

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

Source:

https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/

https://old.reddit.com/r/kaseya/comments/ocf0x1/kaseya_has_been_hacked_with_randomware_that/

https://gist.github.com/fwosar/a63e1249bfccb8395b961d3d780c0354

CISA 敦促組織在關鍵系統上停用 Windows 列印緩衝處理程式

美國國土安全部之網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA) 已發布關於關鍵 PrintNightmare 零日漏洞的說明,並建議資安人員在不用於列印的伺服器上停用(Disable) Windows Print Spooler 列印緩衝處理服務。

CISA表示,CERT 協調中心已針對 Windows Print spooler 服務中的一個關鍵遠端程式碼執行漏洞發布了VulNote,並指出:“雖然 Microsoft 已發布針對 CVE-2021-1675的更新,但更新並未解決CVE-2021-1675 的公共漏洞利用。” 攻擊者可以利用此漏洞(稱 PrintNightmare)來控制受影響的系統。

CISA 鼓勵資安人員應採用 Microsoft 在2021 年 1 月 11 日發布的操作指南作最佳實踐:“由於存在暴露的可能性,網域控制器和AD管理系統需要停用列印後台處理程式服務,推薦的方法是使用群組原則(Group policy object)。

根據 Microsoft 的建議,應通過群組原則在所有網域控制器和 AD管理系統上停用Print Spooler 服務,因為它會增加遭受攻擊的風險,微軟補充說,由於大多數 Windows 客戶端和伺服器平台上預設啟用這服務,建議在所有不需要的伺服器上停用它,以減輕未來受攻擊的風險。

目前,在Microsoft完全解決PrintNightmare零日漏洞之前,停用Print Spooler 服務是確保駭客,尤其是勒索軟體組織不會趁機攻擊企業網路的最簡單方法。

愛爾蘭高等法院下令VirusTotal提交上傳或下載了愛爾蘭衛生健康署被盜數據的有關人士個資

在英國《金融時報》歸還了數據,但拒絕透露提供樣本的來源下,高等法院要求 VirusTotal交出下載或上傳 HSE 數據的用戶資訊

今年 5 月,愛爾蘭的公共醫療保健系統 Health Service Executive, HSE被Conti 勒索軟體攻擊,該攻擊使HSE在設備被加密後造成 IT 系統大規模中斷,嚴重影響該國的醫療服務,Conti在攻擊過程竊取了HSE 約700GB 的數據,據稱這些數據包括患者和員工個資、合約、財務報表、會議記錄、薪資單等。

據金融時報的報導,有人將27份HSE的檔案包含12名病患的個資上傳到惡意檔案分析網站VirusTotal上,檔案在 5 月 25 日被 Chronicle (VirusTotal的母公司)刪除之前被VirusTotal用戶下載了 23 次。VirusTotal除了掃描惡意檔案之外,還能充當上傳檔案的存儲庫,允許訂閱者搜索和下載檔案以分析他們自己的安全研究或改進他們的安全軟體。

在愛爾蘭法院發布禁令要求任何擁有被盜數據的人將其歸還給 HSE 後,英國《金融時報》歸還了數據,但拒絕透露提供樣本的來源。

週二,愛爾蘭高等法院發布命令,要求 VirusTotal 的所有者 Chronicle Security Ireland 和 Chronicle LLC 交出下載或上傳 HSE 數據的用戶的個資包括電子郵件地址、電話號碼、IP 地址或地址。高等法院法官也同時指出,被告沒有反對下達的命令,即所謂的Norwich Pharmacal Order第三方披露令。

有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

美國一級創傷中心”南內華達大學醫學中心”遭REvil攻擊,數據被盜

臭名昭著的REvil勒索軟體在其揭秘網站Happy Blog上又發文,並列出南內華達大學醫學中心(University Medical Center of Southern Nevada, UMCSN) 為其受害者,根據Review Journal報導,REvil在6月28日發布了只有六名人士的內華達州駕照、護照和社會安全卡的截圖,相信現階段駭客仍與UMCSN進行談判,目前也不知道勒索金額。

 6月29日UMCSN在一份聲明承認遭到入侵,確認網路犯罪分子在 6 月中旬非法存取了其系統用於存儲數據的伺服器。UMCSN說,執法部門現在正在調查這起事件,沒有證據表明在攻擊中存取了任何臨床系統,但會通知患者和員工他們的個資可能處於暴露的風險,醫院還將提供“免費身份保護和信用監控服務”。UMCSN表示其IT部門迅速採取行動,入侵僅影響了內部間歇性的電腦登錄問題,但沒有影響患者護理或 UMC 的臨床系統並沒有中斷。聲明更進一步說:“這種類型的攻擊在醫療保健行業變得越來越普遍,世界各地的醫院都遇到了類似的情況。”

南內華達大學醫學中心(UMCSN) 的聲明

聲明並未提及駭客的動機,但專門跟踪勒索軟體的 Emsisoft 安全研究員Brett Callow表示,REvil擅長在鎖定目標組織的系統之前竊取目標組織的數據,然後威脅要在網上發布數據以迫使組織支付贖金。Callow補充說,REvil可能以威脅要發布從整容手術過程中的前後照片等,盡其所能向UMCSN施加壓力。

截至目前仍無法打開官方網站的頁面:

UMCSN是一家非營利性公立醫院,也是內華達州唯一的 1 級創傷中心(Level 1 Trauma Center)。

REvil勒索軟體的情資: 

REvil ransomware Linux version

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

Linux版的REvil勒索軟體,鎖定VMware ESXi虛擬機器

隨著企業轉向虛擬機以便更輕鬆地進行備份、設備管理和有效利用資源,同時也有越來越多的勒索軟體組織建立自己的工具來對 VM 使用的存儲進行大規模加密。現在資安研究員發現REvil 勒索軟體操作Linux 加密工具,來攻擊與加密VMware ESXi虛擬機器。

根據資安公司Advanced Intelligence的執行長Vitali Kreme分享了他分析REvil勒索軟體 的Linux變種是如何殺掉VM 的 process:

1. Leverages “esxcli” CLI component to kill VMs via world id

2. affiliate “sub”:”7864″ | usual struct

3. GCC: (Ubuntu 4.8.4-2ubuntu1~14.04.4) 4.8.4

另外AT &T Alien Labs技術總監Jaime Blasco,也分享了Linux 版的REvil勒索軟體的惡意程式特徵規則YARA RULE與Hash值:

FileHash-MD5 ab3229656f73505a3c53f7d2e95efd0e

FileHash-MD5 e199f02ffcf1b1769c8aeb580f627267

FileHash-MD5 96a157e4c0bef22e0cea1299f88d4745

FileHash-MD5 395249d3e6dae1caff6b5b2e1f75bacd

FileHash-SHA256 3d375d0ead2b63168de86ca2649360d9dcff75b3e0ffa2cf1e50816ec92b3b7d

FileHash-SHA256 796800face046765bd79f267c56a6c93ee2800b76d7f38ad96e5acb92599fcd4

FileHash-SHA256 d6762eff16452434ac1acc127f082906cc1ae5b0ff026d0d4fe725711db47763

FileHash-SHA256 ea1872b2835128e3cb49a0bc27e4727ca33c4e6eba1e80422db19b505f965bc4

FileHash-SHA1 446771415864f4916df33aad1aa7e42fa104adee

FileHash-SHA1 45404b862e70a7a1b4db6c73d374b8ac19ddf772

FileHash-SHA1 9586ebc83a1b6949e08820b46faf72ee5b132bca

FileHash-SHA1 29f16c046a344e0d0adfea80d5d7958d6b6b8cfa

看更多Linux版REvil勒索軟體的情資: REvil ransomware Linux version

勒索軟體的另類售後服務,付贖金後,REvil詳述如何入侵!

根據Malwarebytes 的資安分析師Mr. Rivero取得的被駭公司(以下稱U公司)與REvil的缐上對話,由於該公司已付贖金,REvil釋出解密工具,U公司可直到7月11日截止時間前享有免費解密工具的使用權,一般來說,就算付了贖金給勒索軟體的駭客團體,他們釋出的解密工具是有時效性的,通常在䆁出的當天至往後的3-4個禮拜有效。如果沒有在時效內完成解密,駭客也不會再延長或給與新的解密功具。

在下圖的案例, 由於U公司的員工在收信過程不慎點擊了帶有惡意病毒的檔案使駭客有機可乘,把病毒payload安裝到受感染的電腦,之後REvil使用工具掃描電腦和所有用戶授權的數據,這授權數據正可用於遠端存取U公司網路。

Photo Credit : Mr. Rivero from Malwarebytes

REvil表示在掃描網路時,發現一個帶有遠端程式碼執行(RCE)弱點的伺服器,並進一步以該RCE來執行payload並收集對伺服器的所有存取權限。接下來,REvil以安全工具從伺服器中轉儲所有可能的密碼,並使用這些密碼收集對其他網路的存取,直到存取網域控制器。REvil植入木馬程式以鍵盤側錄方法式,存取和操控整個 IT 基礎設施。

由於駭客修改了M公司的防毒config,可逃避在IT 網路被檢測到,在收集並存取所有可能的 IT數據後,駭客也找到了連接到M公司其餘分公司的方法,在收集完M公司所有有價值的數據,REvil正式加密M公司的IT 系統。

在這案例中,REvil通過垃圾郵件活動來突破M公司的防禦,進入企業內部網路。透過教育訓練與各種社交工程的演練,提高員工的資安意識真的很重要!

這一兩年以來,REvil勒索軟體的威脅越來越大,台灣企業包括台灣塩野義製藥宏碁、日月光孫公司Asteelflash Group廣達紛紛遭到REvil的毒手,

在國外REvil的受害者更是不計其數,包括再生能源公司Invenergy,美國肉類供應巨頭 JBS,印度最大鋼鐵生產商塔塔鋼鐵

有關REvil勒索軟體的情資:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

*****竣盟科技快報歡迎轉載,但請註明出處

在6名CLOP勒索軟體的嫌犯被捕一周後,CLOP在其揭秘網站上又公佈新的受害公司,這意味著什麼呢?!

在上週 6 月 16 日,6名CLOP勒索軟體的幕後駭客被烏克蘭警方拘捕,當時警方表示,他們在烏克蘭首都基輔及其周邊地區對涉嫌駭客的家中和他們的汽車進行了 21 次搜查並扣獲了電腦、手機和伺服器設備、185,000 美元的現金(相信是贖金)及幾輛汽車等。

但今在CLOP揭秘網站CLOP^_-LEAKS上發現新的受害者,表示CLOP仍然活躍,也證明最近被逮捕的駭客不包括核心成員。目前尚不清楚這家新公司是何時遭到CLOP的攻擊,這是否在6名CLOP成員逮捕前已被入侵但直到現在才發布的數據,還是完全是一次新的攻擊。無論是哪種,它都表明CLOP仍然以某種方式活躍。專門跟踪勒索軟體的 Emsisoft 安全研究員Brett Callow表示:“數據已經發布的事實表明,烏克蘭警方的行動沒有涉及CLOP的核心成員,也沒有完全擾亂CLOP的操作。”

CLOP^_-LEAKS上的更新,出現新的受害者

CLOP在上週被捕後,今發布新的受害者和盜竊數據,正如網路安全情報公司Intel 471上週表示,被捕的嫌疑人僅限於CLOP業務的套現和洗錢方面,逮捕並沒有打擊經營犯罪集團的核心。

換句話說,CLOP又重新浮出水面意味著企業與CLOP的鬥爭遠未結束。

CLOP勒索軟體的相關情資:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42

LockBit勒索軟體推出了新的招募會員計劃“LockBit 2.0”,稱其最新的工具StealBit是世上最迅速盜竊數據的神器

Key Points:

*最近發生了勒索軟體收山、駭客被逮捕和伺服器遭扣押等事件,估計LockBit2.0的推出可吸引曾使用 DarkSideCLOPAvaddon勒索軟體的駭客。

*操作LockBit的駭客推出一項名為LockBit2.0的勒索軟體即服務(Ransomware as a Service , RaaS)計劃, LockBit承諾提供會員世界上最快的加密和數據盜竊工具

在3月中被爆出LockBit勒索軟體含錯誤使其試用版解密工具能任意被使用,可免費解密後,LockBit沉寂一陣子,現重新露臉並立即推出其加強版LockBit2.0,以招募更多新的駭客會員使用其勒索軟體加密更多公司。據相信,LockBit2.0已修復之前Lockbit勒索軟體中的錯誤並加入更強大的Stealer程式“StealBit”, 據 LockBit 的承諾,它可以在不到 20 分鐘內從受感染的系統迅速下載 100 GB 的數據。迅速下載數據對於操作勒索軟體的駭客來說非常重要,因為他們盜竊數據的速度越快,越更大幅度減低被發現和阻擋的機會。竊取數據是當今勒索軟體攻擊的重點,這些數據通常是受害者支付贖金的原因。另外,StealBit同時還支援即時壓縮(Real-time compression)和拖放功能(Drag-and-drop),並對安全工具保持隱藏。

LockBit提供StealBit對資料下載速度的比較表 Photo Credit: KELA

LockBit的駭客同時在加密也做出了同樣的承諾,聲稱是“世界上最快的加密軟體”,且優於其他的勒索軟體。LockBit表示,會員只需要對核心伺服器建立存取,其餘的工作全由LockBit 2.0一手包辦。

LockBit2.0招募合作夥伴頁面 Photo Credit: KELA

據信LockBit 2.0 計劃的合作夥伴將享有以下功能和特性:

*Tor中的管理員面板

*解密工具功能的自動測試

*阻止可能破壞加密過程的進程啟動

*進階的通訊埠端口掃描

*在聊天室推送通知

*自動清除受感染網路中的日誌

*通過 Wake-on-Lan 自動啟動電腦

*能使用在受害網路中連接的印表機印出需要的文件

*在受害網路中的自動散播

*刪除可用於備份還原的陰影複製

LockBit相關情資:

https://otx.alienvault.com/pulse/5ff7560e8ebcdf1d6e6201f9

Source:

https://twitter.com/Intel_by_KELA/status/1406905385580118017

遭勒索軟體攻擊,多倫多Humber River醫院緊急關閉5000電腦,醫院實施灰色代碼(Code Grey)警示!

humber river hospital

加拿大多倫多Humber River醫院的一份聲明中,承認其系統在6月14日凌晨2點左右受到了勒索軟體攻擊,從那時起,醫院一直在 「灰色代碼 」(Code Grey)下運作, Code Grey是在意味著醫院基本服務喪失時所使用的警示。由於醫院工作人員無法存取電子病歷和診斷測試結果,醫院已經取消了各種門診,並在大門前派了工作人員來重新引導患者,聲明說,到目前為止,手術沒有受到影響,急診室仍然開放,但一些救護車將被轉移到其他醫院。

Humber River醫院表示,由於系統不斷更新(最近一次修補是在 6 月 13 日)並受到監控,因此立即發現了零時差攻擊,關閉了 5,000 台電腦和所有 IT 系統,包括患者健康記錄系統。醫院補充說雖然系統關閉阻止了大多數電腦被加密,但一些檔案有被損壞。

Humber River醫院表示,其 IT 部門正在與一家外部第三方資安公司合作,以使其係統恢復正常運行, 5,000 台電腦(其中 800 台是伺服器)將被手動重啟。醫院在6月15日下午的聲明中表示,系統將在接下來的 48 小時內以交錯的方式重新上線,並表示重要的是要知道沒有任何機密資料被洩露,另外醫院也沒有指出是哪個勒索軟體組織所為。

Humber River是一家大型急診醫院,擁有722張床位,每年住院30,000人次,每年接受急診就診135,000人次。每天有近 370 人尋求緊急護理。

烏克蘭與韓國警方的聯合行動,逮捕了6名CLOP勒索軟體的幕後駭客

6 月 16 日在烏克蘭和韓國的執法機構聯合行動後,6名與 CLOP勒索軟體有關的嫌疑人已在烏克蘭被拘留。

烏克蘭國家警察和該國網路警察部門證實,在對首都基輔(Kyiv)附近地區的 21 處住宅進行搜查後,並逮捕了 6 名 CLOP勒索軟體組織的嫌疑人,目前還不清楚被告是否為CLOP勒索軟體組織的核心成員,他們被指控對美國和韓國企業的伺服器進行了勒索軟體攻擊。據稱Clop勒索軟體造成了約 5 億美元的總經濟損失。在行動之後,當局報告說他們成功關閉了CLOP用來發動過去攻擊的伺服器。當局補充道:“執法部門設法攜手關閉了用於散播勒索病毒的基礎設施,並封鎖了使其非法獲得的加密貨幣合法化的渠道”。

警方還從CLOP的幕後駭客中沒收了電腦,手機,伺服器,幾輛汽車(包括特斯拉,Lexus和賓士) 以及約 185,000 美元的現金。

據悉,CLOP 發動的攻擊可追溯到2019 年2 月,當時該組織攻擊了四家韓國企業、並加密了810 台內部伺服器和個人電腦。自那以後,CLOP涉及多起臭名昭著的勒索軟體攻擊,其中包括2020 年4 月針對美國製藥巨頭ExecuPharm 的入侵、以及11 月針對韓國電商巨頭E -Land 的攻擊(迫使該零售商關閉了將近一半的門店),韓國警方去年加大了對Clop的調查力度,在本週突襲CLOP駭客時韓國警察也親自到場。在過去的六個月裡,CLOP 一直特別忙於利用檔案傳輸設備(FTA) 中的四個不同的零時差漏洞,用來攻擊使用Accellion FTA的企業,其中包括加拿大飛機製造商龐巴迪BombardierJones Day律師事務所、資安公司Qualys和新加坡電信巨頭Singtel馬里蘭大學斯坦福大學等。

目前尚不清楚烏克蘭當局的這項執法行動將在多大程度上影響 CLOP的運作。

網路安全情報公司Intel 471表示,烏克蘭的執法突襲僅限於 CLOP 業務的套現和洗錢方面。“我們認為 CLOP 背後的任何核心參與者都沒有被逮捕,因為他們很可能住在俄羅斯。”

烏克蘭與韓國執法部門突襲Clop的影片

CLOP勒索軟體的相關情資:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42