在大規模攻擊巴西法院系統後,受到極大關注的勒索軟體RansomExx,現又藉加密Linux系統來擴大業務版圖!

這張圖片的 alt 屬性值為空,它的檔案名稱為 ransomEXX-1024x665.png

資安研究員發現首次一種規模比較大的 Windows 勒索軟體被移植到 Linux 系統,以進行有針對性的入侵,卡巴斯基的研究人員分析了Linux版本的RansomExx勒索軟體,RansomExx也被稱為Defray777,是一種相對較新的勒索軟體,於今年6月初首次被發現,同時也是一種人為操作勒索軟體(Human-operated ransomware),這意味著攻擊者在獲得對目標網路的訪問權限後便得手動感染系統。

RansomExx於2020年6月對德州運輸部的發動了攻擊; 8月攻擊了柯尼卡美能達(Konica Minolta);9月對美國政府承包商泰勒技術公司(Tyler Technologies) 發動了攻擊;以及最近對巴西法院系統(STJ)的攻擊

最近發現當針對Linux伺服器時,RansomExx會部署一個名為“ svc-new”的ELF可執行檔,用於加密受害者的伺服器。

根據卡巴斯基:經過初步分析,我們注意到Trojan木馬的程式碼,勒索信件的文字和勒索方法的相似之處,這表明我們已經遇到了以前已知的勒索軟體家族RansomEXX的Linux版本。研究員說在啟動後該木馬會生成一個256位密鑰,並使用它來加密屬於受害者的所有檔案,這些檔案可以使用ECB模式下的AES分組密碼來訪問。AES密鑰通過嵌入特洛伊木馬程式中的公共RSA-4096密鑰進行加密,並附加到每個加密檔案中。

但專家指出,RansomEXX缺乏Trojan木馬的其他功能,如C2通信,反分析功能以及殺死進程的功能,也與Windows版本不同,Linux版本不會擦除可用空間。

專家注意到,當受害者支付贖金時,他們將同時獲得Linux和Windows解密工具,以及相應的RSA-4096私鑰和嵌入在執行檔中的加密文件副檔名。

最近Linux版本的IOC:

aa1ddf0c8312349be614ff43e80a262f

早期Windows版本的IOC:

fcd21c6fca3b9378961aa1865bee7ecb

RansomExx勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fa577b4aa9de26c3b347142

Source: https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/?es_p=12938065

*****竣盟科技快報歡迎轉載,但請註明出處

遊戲大廠卡普空(Capcom)遭Ranger Locker加密,被盜1TB 數據! 其熱賣遊戲包含快打旋風、惡靈古堡、洛克人、魔物獵人系列等經典又賣座!

日本遊戲開發商遭受了勒索軟體攻擊,Ragnar Locker勒索軟體的背後操作駭客稱他們是從在卡普空美國,日本和加拿大的公司網路中竊取了1TB敏感數據。

Photo credit to BleepingComputer

昨天,Capcom宣布他們在2020年11月2日遭受了網路攻擊,導致其部分公司網路暫停以防止攻擊蔓延。據了解,昨天卡普空並未透露網路攻擊的詳細資訊,今在資安研究員pancak3lullz發現了勒索軟體樣本,證實操作Ragnar Locker的駭客對卡普空進行了攻擊。BleepingComputer也取得了Ragnar Locker對卡普空勒索的信件。如下圖:

勒索信中包含七個print.sc 的URL,顯示被盜檔案的截圖,包括員工離職協議,日本護照,八月份的Steam銷售報告,銀行對賬單,承包商協議以及AA用戶和卡普空Windows網域的電腦MMC的截圖。下圖為被盜的卡普空2020年8月Steam銷售報告:

勒索信也包含Ragnar Locker Tor談判站點的連結,卡普空可以在該站點與攻擊者討論贖金。目前卡普空尚未使用聊天頁面,另資安研究員pancak3lullz對BleepingComputer表示,Ragnar Locker聲稱已經在Capcom的網路上加密了2,000台設備,並要求提供1100萬美元的比特幣作為交換解密工具。贖金還包括承諾刪除所有被盜數據以及提供網路滲透安全報告。

Ragnar Locker今年4月攻擊了包括對葡萄牙跨國能源巨頭Energias de Portugal,要求1090萬美元的贖金。9月,他們攻擊了了法國海上運輸和物流公司CMA CGM,導致網路和運營大量停工。另今也傳出意大利飲料供應商Campari受到Ragnar Locker攻擊,並已關閉了很大一部分IT網路。

Ragnar Locker勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5ee0fecd7663ca5837037ea0

#情資才是王道

*****竣盟科技快報歡迎轉載,但請註明出處

全球知名遊戲公司卡普空Capcom遭受網路攻擊,造成業務受影響

日本卡普空株式會社(株式会社カプコン)是一家全球知名的電子遊戲開發商與發行商,其多款經典遊戲如魔物獵人系列、快打旋風、惡靈古堡、洛克人等賣座又叫好。

卡普空在其官方網站發布了《關於由於未經授權的訪問導致系統故障的通知》指出自2020年11月2日凌晨起,我們的某些系統出現問題,導致難以訪問郵件系統和檔案伺服器。在確定這是一次網路攻擊之後,他們停止了部分公司網路以防止攻擊蔓延。該公司已確認這是由於第三方未經授權的訪問,並且自11月2日起已停止內部網路的某些營運。

自攻擊以來,卡普空一直在其網站上顯示通知,警告用戶由於攻擊會影響電子郵件系統,因此電子郵件和檔案的request將無法正常運作。但同時表示這次攻擊並未“對玩我們遊戲或訪問我們的網站的互聯網連接造成影響"

卡普空進一步表示,目前沒有跡象表明有任何客戶數據被盜。另外,如果這次網路攻擊是一種勒索軟體攻擊,那麼在部署勒索軟體之前,很有可能他們公司的數據已經被盜。

自2019年以來,勒索軟體的駭客組織一直在利用雙重勒索策略在加密設備之前竊取未加密的數據。威脅受害公司如果不支付贖金,就會在暗網公開發布這些被盜數據。

儘管Capcom並未表示這是勒索軟體攻擊,但根據消息人士告訴BleepingComputer,卡普空在8月遭受了TrickBot的感染,有可能是Ryuk或Conti勒索軟體的攻擊。另外,REvil勒索軟體的背後操作駭客, 曾於最近表示他們入侵了大型遊戲公司,並將很快宣布,目前尚不清楚這是否與卡普空的網路攻擊有關。

*****竣盟科技快報歡迎轉載,但請註明出處

瑞典議會的機密資料在Mount Locker勒索軟體入侵了 Gunnebo後被外洩,成為瑞典頭條新聞,引起社會輿論關注

瑞典安全公司Gunnebo週二表示,在兩個月前遭到駭客入侵後,現駭客發布了有關其公司的敏感數據,據瑞典外媒報導,約19 GB的大量數據已在暗網流出並可下載有關檔案。檔案包含瑞典議會的安全措施的有關資料,Gunnebo財務數據,銀行詳細資料和密碼以及客戶交易的詳細資料,有關政府警報系統安裝的藍圖和詳細的安全資料,辦公室和機場入口控制系統等等的敏感資料,大約有38,000個檔案。

當中最具爭議的外洩檔案為包括瑞典議會資安安排的細節以及瑞典稅務局在斯德哥爾摩郊區新辦公室的機密計劃。報導稱,至少有兩家德國銀行的銀行保險庫計劃被洩露,而其他檔案則顯示了瑞典SEB銀行分行的警報系統和監控攝像頭也被外洩。另資安外媒Hackread看過了這些數據,確認可以通過MEGA下載連結並正在不同的駭客論壇上分發。

Mount Locker勒索軟體竊取的數據列表

Gunnebo成立於1889年,是一家瑞典的跨國公司,為全球各類客戶提供物理安全,包括銀行,政府機關,機場,娛樂場所,珠寶店,稅務機關甚至是核電廠。該公司在25個國家/地區開展業務,擁有4,000多名員工,每年的收入達數十億美元。

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載,但請註明出處

資料來源: https://www.dn.se/ekonomi/enorm-sakerhetslacka-hemliga-uppgifter-om-riksdagen-och-banker-ute-pa-natet/

意大利國家電力公司Enel集團,繼6月份遭Snake勒索軟體攻擊,今遭另一勒索軟體加密,被NetWalker勒索1400萬美元

意大利跨國能源公司Enel Group,今年第二次遭到勒索軟體攻擊,這次的幕後黑手是NetWalker勒索軟體,NetWalker背後的駭客要求1400萬美元贖金作為不公開盜來的5 TB數據並提供解密密鑰。Enel集團是歐洲能源領域最大的公司之一,在40個國家/地區擁有6100萬客戶。截至8月10日,它在《Fortune》全球500強中排名第87位,2019年的收入接近900億美元。

這次攻擊之前,Enel集團於6月份,其內部網路受到Snake勒索軟體(也稱為EKANS)的攻擊,但在惡意軟體散播之前就被截獲。

根據資安外媒BleepingComputer, 它們在10月19日取得了Enel 集團被勒索的信件, 如下圖:

勒索信中有包含一個導向http://prnt.sc/ URL的的連結,該連結顯示了被盜的數據。根據檔案夾中員工的姓名,確認攻擊是針對Enel Group的。

另也被發現NetWalker在他們的支援聊天中添加了一條消息,並說“Hello Enel. Don’t be afraid to write us”,確認受害者是Enel Group,如下圖:

根據Netwalker的說法,他們從Enel竊取了大約5 TB的數據,並準備在一周內公開其中的一部分。他們還說,他們將分析每個檔案中的有趣內容,並將發佈在其暗網站上。此策略旨在增加來自受害者公司的壓力並迫使其付款。在許多情況下,這對攻擊者有利。

NetWalker作為一種勒索軟體,於2019年8月首次出現。最初該勒索軟體的名稱為Mailto,但在2019年底更名為NetWalker,我們之前曾報導過NetWalker勒索軟體如何在一小時內攻陷系統,請參考。

最新的 NetWalker 勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5f4d4e6034a4e01f2a0961ff

https://otx.alienvault.com/pulse/5edfd2ca2146e0ec9fd72499

日本鹽野義製藥的台灣子公司遭REvil勒索軟體攻擊,部分被盜數據已被公開

根據日本經濟新聞和共同社在22日的報導,日本鹽野義製藥稱,台北銷售辦事處的電腦在本月中旬感染了電腦病毒。日本鹽野義製藥正在研發Covid 19疫苗,但稱沒有證據顯示在日本實驗室的電腦遭入侵的跡象,還表示雖在台灣設有臨床試驗營運據點,但不涉及尖端技術和個人資料。

REvil勒索軟體又稱為Sodinokibi,其背後的駭客組織在已其暗網網站上公開了鹽野義製藥台灣子公司的部分數據, 包含醫療器材進口許可證,員工的居留許可證,庫存明細等。REvil給了10天的聯繫時間並威脅稱,若不支付贖金將進一步公開資料。

由於全球的疫情仍未退減,有關Covid 19疫苗資料容易成為家級駭客或是純牟利駭客的攻擊目標。防患於未然,REvil及其他勒索軟體,主要透過

伺服器或軟體漏洞和釣魚攻擊而傳播,因此,定期更新並修復電腦的伺服器或軟體漏洞,可以減低被勒索軟體攻擊的機會。

有關REvil 的情資:

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

*****竣盟科技快報歡迎轉載,但請註明出處

美國司法部起訴俄羅斯情報機構(GRU) 的駭客組織 “Sandworm”,他們為NotPetya,KillDisk和Olympic Destroye等攻擊的幕後黑手!

美國司法部已指控六名俄羅斯情報特工涉嫌與平昌冬奧會,2017年法國大選,烏克蘭停電以及臭名昭著的NotPetya勒索軟體攻擊有關的駭客行動。

美國司法部起訴書指出,以上六人全是俄羅斯情報局GRU的74455部隊情報特工,屬於精英駭客組織 “Sandworm”。美國國家安全助理總檢察長John Demers說:“沒有哪個國家像俄羅斯那樣惡意或不負責任地武器化其網路能力,肆意造成空前的破壞,以謀求小規模的戰術優勢並滿足各種惡意。美國官員說,這六人在俄羅斯政府的命令下進行了“破壞性”網路攻擊,目的是破壞其他國家的穩定,干涉其國內政治並造成破壞和金錢損失。

他們過去的十年攻擊,其中包括迄今為止已知的一些最大的網路攻擊:

1. 烏克蘭政府與關鍵基礎設施:從2015年12月到2016年12月,使用稱為BlackEnergy,Industroyer和KillDisk的惡意軟體對烏克蘭的電網,財政部和國庫署進行破壞性惡意軟體攻擊。

2. 法國大選:2017年4月和2017年5月,Sandworm針對法國總統馬克龍(Macron)的“共和國街”(LaRépubliqueEn Marche!)進行魚叉式網路釣魚廣告活動和相關的破解和洩漏工作。

3. NotPetya勒索軟體爆發:2017年6月27日,Sandworm發布了NotPetya勒索軟體。勒索軟體最初是針對烏克蘭公司的,後來迅速傳播並影響了世界各地的公司,給受害者造成了超過10億美元的損失。

4. 平昌冬奧會的主辦方,參與者,合作夥伴和與會人員:2017年12月至2018年. 2月,Sandworm發起了針對韓國公民和官員,奧林匹克運動員,合作夥伴和訪客以及國際奧委會(IOC)的魚叉式網路釣魚活動和惡意行動應用程式

5. 2017年12月至2018年2月入侵支援2018年平昌冬奧會的電腦,該電腦最終於2018年2月9日對開幕式進行了破壞性惡意軟體攻擊,使用被稱為奧林匹克毀滅者的惡意軟體。

6. Novichok中毒調查:2018年4月,Sandworm小組組織了針對魚叉式網路釣魚的活動,以反對化學武器組織(OPCW)和英國國防科學技術實驗室(DSTL)的調查為目標,調查了Sergei Skripal,他的女兒和一些英國公民。

7. 喬治亞的公司和政府實體:Sandworm在2018年針對喬治亞洲的一家主要媒體公司發起了魚叉式網路釣魚廣告活動。在這些攻擊之後,於2019年破壞喬治亞洲議會網路,並於2019年進行大規模的網站污損活動。

Sandworm的相關情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5ecfda839894083b8aa8d781

https://otx.alienvault.com/pulse/5dd6b0afa9f6a0d3ff633539

https://otx.alienvault.com/pulse/5da728ff4ab2bb66796d41fa

Source:

https://www.justice.gov/opa/press-release/file/1328521/download

*****竣盟科技快報歡迎轉載,但請註明出處

全球規模最大的電玩商之二法國Ubisoft(育碧)和德國Crytek遭 Egregor勒索軟體攻擊!駭客威脅要洩漏Ubisoft即將推出的遊戲-看門狗:自由軍團(Watch Dogs: Legion)的原始碼!!

本週二Egregor勒索軟體的背後駭客在其暗網發布了包含未加密的檔案,證明他們在攻擊中,已竊取了從Ubisoft和Crytek兩間公司的數據,根據外媒BleepingComputer 的確認,證實Crytek是Egregor勒索軟體攻擊的受害者,雖然不確定德國Crytek有多少設備已遭加密,但確認檔案已被加密並重命名為包括“ .CRYTEK” 副檔名。例如,名為test.jpg的檔案已被加密並重命名為test.jpg.CRYTEK。

除加密設備外,Egregor的背後駭客還從Crytek竊取了未加密的檔案,並在其暗網數據洩漏站點上洩漏了380MB的檔案。

這些洩漏的數據包括與WarFace,Crytek取消《命運的競技場》 的MOBA遊戲以及其網路操作有關的檔案

Egregor勒索軟體還聲稱已破壞了Ubisoft(育碧)的網路並竊取了未加密的數據,包括即將推出的Watch Dogs:Legion遊戲的原始碼。

對於Ubisoft(育碧)洩密事件,Egregor的駭客發布了一個20MB的檔案,表明他們擁有該公司的一款Watch Dog遊戲的原始碼。在其暗網,該組織吹捧他們擁有定於本月晚些時候發布的Watch Dog:Legion遊戲原始碼。然而無法確認這些檔案是否來自新遊戲,而不是現有版本。

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載,但請註明出處

國際律師事務所Seyfarth Shaw LLP披露了它是惡意軟體攻擊的受害者,很可能是勒索軟體攻擊!

Seyfarth Shaw是一家國際性的AmLaw 100律師事務所,在美國,歐洲和亞太地區的17個辦事處擁有900多名律師,去年的總收入超過7億美元,總部位於芝加哥,其客戶包括300多家《Fortune》500強公司。根據Seyfarth Shaw律師事務所發布的聲明,攻擊發生在2020年10月10日,Seyfarth成為了一次精密而具攻擊性的惡意軟體攻擊的受害者。“目前我們的電子郵件系統處於關閉狀態。” Seyfarth表示:“我們了解許多其他實體也受到相同的攻擊。我們的監控系統檢測到了未經授權的活動,我們的IT團隊迅速採取了行動以防止其擴散並保護我們的系統"

Seyfarth Shaw確認其許多系統均被加密,目前尚不清楚這種攻擊的危害程度,但是Seyfarth Shaw說,他們沒有找到證據表明攻擊者訪問或竊取了客戶或公司數據。“但是,我們的許多系統都被加密,為了預防起見,我們已將系統關閉。"該公司已通知執法部門,並配合FBI進行的調查。

由於律師事務所必須遵循將客戶數據保密保存的基本業務原則,因此,數據洩露或勒索軟體攻擊造成的任何數據洩漏都可能對他們的業務造成重大後果。截至發稿時,該律師事務所尚未透露有關攻擊的詳細資料,尚不清楚影響Seyfarth Shaw的勒索軟體和安全事件的嚴重程度。

另外,Cyber​​Edge 2020年網路威脅防禦報告Cyberthreat Defense Report指出, 2020年到迄今為止,北美超過69%的公司和拉丁美洲61%的公司受到勒索軟體攻擊,位居第一和第二,其次是非洲和中東佔59%的攻擊,歐洲排名第四,佔57%,亞洲排名第五,攻擊率為55%。

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載,但請註明出處