全球知名內容遞送網路(Content delivery network, CDN)業者Cloudflare在7月17日經歷了網路大斷網, 致使衆多網站和網路服務哀嚎遍野

繼Twitter的名人帳號被盜來詐比特幣後, 又一大型網路事件–Cloudflare在美東時間7月17日下午經歷了大當機!!!

全球知內容遞送網路(Content delivery network, CDN)業者Cloudflare在7月17日經歷了網路大斷網, 致使衆多網站和網路服務哀嚎遍野

以下為透過Downdetector 檢測到當時影響的區域和各大網站無法連線的情形,

一張含有 文字, 地圖 的圖片

自動產生的描述

影響了從league of legends到亞馬遜網路服務和Google等等的網站,引起一半互聯網癱瘓….

由於影響情況的廣泛, 不免引起了是由駭客DDoS攻擊的猜測, 但CloudFlare在美東時間7月17日下午6:28已作說明,根據Cloudflare執行長Matthew Prince的說法,“亞特蘭大的路由器發生錯誤,導致跨主幹網的路由器出現故障也, 導致到連接到我們骨幹網的PoP的流量路由器錯誤。”

在美東時間7月18 日凌晨3時 Cloudflare更新了博客文章,並解釋由於配置錯誤引起當機持續了約23分鐘,排除了其問題是攻擊的結果的猜測,Cloudflare執行長 Prince在一條推文中說:“有關導致我們23分鐘的服務中斷(約50%網路)原因是我們的專用骨幹網中的路由器配置中有錯字。我們已經採取了安全措施,以確保這樣的錯誤在將來不會引起問題。”

Cloudflare當機報告:

https://blog.cloudflare.com/cloudflare-outage-on-july-17-2020/

竣盟科技官網:https://www.billows.com.tw/

竣盟科技line@

*****竣盟科技快報歡迎轉載,但請註明出處

證實法商電信巨擘Orange為Nefilim勒索軟體駭客組織的受害者!客戶包含法國飛機製造商ATR的資料已被竊取並公開!!

Orange logo

Orange集團承認他們遭受了勒索軟體的攻擊,暴露了其20家企業客戶的數據。

2020年7月15日,Nefilim 背後的勒索軟體的駭客已將Orange的資料放在其暗網揭秘網站上,並表示他們是通過”Orange Business Solutions”部門入侵Orange的。

Orange表示,Orange Business Solution部門在2020年7月4日(星期六)至7月5日晚上遭受到針對性的攻擊,致使Nefilim 的幕後駭手能訪問20家Orange Pro / SME的客戶數據。

值得一提的是, Orange的雲端託管虛擬工作站平台”Le Forfait Informatique”其平台使用者為企業客戶,負責託管工作站平台的IT支援正是Orange Business Services部門。

圖片來源:  bleeping computer

由於Nefilim 在揭秘網站上發布了一個名為“ Orange_leak_part1.rar” 339MB的存檔文件,並聲稱文件在入侵攻擊過程中從Orange竊取的數據。資安研究人員Ransom Leaks 分析,此存檔包含電子郵件,飛機示意圖和法國飛機製造商ATR Aircraft的文件。由此數據可表明ATR是Orange的Le Forfait Informatique平台的客戶,並且在此次攻擊過程中受牽連致使資料被盜,但ATR Aircraft沒有證實它們受勒索軟體攻擊。現在越來越多勒索軟體的組織公開這些被盜文件作為威脅,透過這種手段來迫使受害者支付贖金。Orange能透明化公開證實被駭是一件好事,但他們的客戶不見了得對此認同

Orange是一家法國電信公司,前身為法國電信France Télécom S.A,為企業提供消費者通信服務和商業服務。  Orange擁有2.66億客戶和148,000名員工,是歐洲第四大電信運營商。

AlienVault OTX情資平台有針對Nefilim 勒索軟體的相關情資:https://otx.alienvault.com/pulse/5eecd2be0dc1df57dba2a52c

另外Orange曾於2014被兩度被駭, 導致一百三十萬客戶敏感資訊外洩: https://thehackernews.com/2014/05/france-telecom-orange-hacked-again.html

參考來源: https://www.bleepingcomputer.com/news/security/orange-confirms-ransomware-attack-exposing-business-customers-data/

*****竣盟科技快報歡迎轉載,但請註明出處。

Twitter 遭受史無前例的大規模駭客攻擊! 大量名人和企業的 Twitter 帳號被駭客駭持-包括 Tesla 的創辦人 Elon Musk, Amazon 創辦人 Jeff Bezos,微軟創辦人 Bill Gates, Apple 等藍鈎帳號遭駭, 被用作詐騙比特幣!

竣盟科技快報⚠️注意⚠️注意:

Twitter 遭受史無前例的大規模駭客攻擊! 大量高知名度的名人和企業的 Twitter 帳號被駭客駭持-包括 Tesla 的創辦人 Elon Musk, Amazon 創辦人 Jeff Bezos,微軟創辦人Bill Gates, Apple 等藍鈎帳號遭駭, 被用作詐騙比特幣!

目前不清楚這起資安事件的幕後黑手, 但事件大約發生在美東時間 7 月 15 日下午 3 點,即台灣時間 7 月 16 日凌晨 3 點左右,陸續爆發被入侵的驗證帳戶貼出可疑貼文,聲稱為了回饋社會, 承諾在接下來的 30 分鐘內,請網民將比特幣匯到特定的網址,然後就會收到回饋的雙倍比特幣。

目前已知被駭的帳戶包括股神巴菲特, Tesla 和 SapceX 的執行長馬斯克、美國前總統奥巴馬, 前副總統拜登、微軟創辦人 Bill Gates、亞馬遜行政總裁兼始創人貝索斯、已宣布參選美國總統的饒舌歌手 Kanye West、富商彭博,甚至著企業 Apple 公司、Uber 等等。

另外根據資安公司 Malware Tech, 認為是第三方的 app 造成的入侵而不是 Twitter 本身受駭, 請參考下圖貼文

另外 Malware Tech 也說,就他們的觀察, 在兩小時內, 受騙金額已達 103,000 美元,如下圖貼文

根據 Twitter Support 在其官方帳號也發文表示: ”我們知道有一個資安全事件在影響 Twitter 用戶。 我們正在調查並採取措施加以修復。”據了解, Twitter 已在限制某些帳戶的發文,重設密碼和其他一些功能。

美國各大新聞媒體也對此起資安事件作大幅度的報導, 可參考以下網址

CNN: https://www.google.com/amp/s/amp.cnn.com/cnn/2020/07/15/tech/twitter-hack-elon-musk-bill-gates/index.html

NBC News: https://www.google.com/amp/s/www.nbcnews.com/news/amp/ncna1233948

*****竣盟科技快報歡迎轉載,但請註明出處。

Maze的五大新規則! 竣盟為您統計受Maze勒索軟體攻擊的公司/組織,受害國家與行業以圖為您呈現…

Maze勒索軟體訂了新規則! 統計從今年1月開始, 截至7月9號,受Maze勒索軟體攻擊的公司/組織, 以圖為您呈現害國家與行業別…

受Maze勒索軟體攻擊的國家(統計自2019年1月4日至2019年7月9)累計177宗攻擊事件

一張含有 文字, 地圖 的圖片

自動產生的描述
受Maze勒索軟體攻擊的國家以世界分佈圖呈現

受Maze勒索軟體攻擊的國家以折線圖呈現

一張含有 螢幕擷取畫面, 坐, 桌, 貨車 的圖片

自動產生的描述
受Maze勒索軟體攻擊的行業別分類(統計自2019年1月4日至2019年7月9)

另外 , Maze勒索軟體的背後組織在暗網的揭秘站上,發佈最新新聞稿, 列出關於他們對受害公司的5條「新規則」請看如下圖:

  1. 從現在開始攻擊和發佈資料會在3天內完成, 如果受害公司在3天內不溝通, 後果自負(金錢和名譽的損失)
  2. 談判是為雙方找到最佳的解決方案, 如果客戶(指受害公司)太害羞,害怕或不表態, 這完全是客戶問題, 因為我們不是心理專家,我們不會分析客戶的行為模式!
  3. 如果你的業務分析師無法預估和計算損失,並嘗試說服你不用付贖金, 在沒有我們的幫助下,你將損失千萬元去恢復數據。
  4. 如果談判破裂,我們會開始發佈你的資料, 十天後會完成發佈你所有的資料。
  5. .在發佈你的所有資料的同時, 我們會通知你的合作夥伴, 客戶, 以致有關當局。

***以上內容純屬Maze背後組織言論與本站立埸無關,本站不鼓勵犯罪!

以下為美國時間7月9日當天,Maze公布的”9間”受害公司名單:

當中以德國半導體X-Fab Silicon Foundries, 美國汽車和消費電子產品零售商VOXX International, 美國建築建材公司BURTON LUMBER和美國鋁製零件製造商MI Metals Inc 為最受矚目, 這四間公司的營收額高達上億美元。其餘五間公司包括  美國金融公司Atlanta computer group美國法律事務所Phillips law firm,7. 美國物流公司TSLCompay Holdings Inc. 法國投資公司BDL capital management, 美國醫療管理公司Argus Medical Management 。它們的營收也最少有400百萬至7千六百萬美元。

此外,在第五項規則中Maze背後組織提及到會通知有關當局, 敲詐勒索未遂而通報作相關資安當局作為報復, 是否會成為新的趨勢, 有待我們持續的關注。

竣盟科技官網:

https://www.billows.com.tw/

竣盟科技line@

*****竣盟科技快報歡迎轉載,但請註明出處。

北韓駭客在大型零售商的信用卡資料系統中,植入了數位側錄程式碼來為金正恩政權賺錢!

駭客組織 Lazarus Group 利用 Magecart 側錄攻擊從歐盟和美國站點竊取信用卡數據…

總部位於荷蘭的安全公司 Sansec 研究人員稱,自 2019 年 5 月以來,臭名昭彰的北韓駭客組織 Lazarus Group 至少對數十家電子商務商店進行了攻擊,其中包括最近對美國飾品零售商Claire’s 的高調攻擊。

北韓 Lazarus Group 又名 Hidden Cobra,為了使側錄攻擊業務獲利,開展了全球滲透網路,劫持並利用了合法的網站進行成犯罪活動。網路罪犯使用網路惡意腳本,從結帳頁面複製敏感的信用卡數據。在調查信用卡盜竊案時,Sansec 的研究人員發現竊取者進行了網路魚叉式釣魚攻擊,而將他們共享的基礎架構以及程式碼中各種特徵關聯起來,最後將這個對信用卡的側錄攻擊歸咎於北韓的 Lazarus Group。

受害者包括飾品巨頭 Claire’s, 黃氏珠寶商(Wongs Jewellers), Focus Camera, Paper Source, Jit Truck, CBD Armour, Microbattery and Realchems 等數十家商店。

Lazarus Group 以已滲透的網路用來匯集被盜資產,以便在暗網上出售。為了掩蓋自己的踪跡,他們破壞了合法企業的網站,並轉存被盜的信用卡資料。根據 Sansec 的調查結果,Lazarus Group 劫持了位於意大利模特經紀公司(Lux Model Agency)的網站,位於新澤西州的一家書店,以及位於德黑蘭的一家老式音樂商店。

註冊與受害者商店相似的域名這個策略似乎為 Lazarus Group 帶來成果。已經確定最近的側錄活動與先前記錄的北韓駭客活動之間存在多個獨立的聯繫。下圖顯示綠色為受害者的存儲區,紅色表示受 Lazarus Group 控制的滲透節點。黃色表示其操作方式(或TTP)。

研究人員將滲透網域與北韓的網路攻擊聯繫在一起, 並稱 Lazarus Group 在網路釣魚事件發生後分發惡意軟體進行攻擊:

technokain.com(釣魚活動12

darvishkhan.net(垃圾郵件活動 1,2)

areac-agr.com(從 Dacls RAT 的伺服器下載

papers0urce.com(與 areac-agr.com 共用 IP,在 Dacls 示例中進行硬編碼)

最初的滲透節點是 Lux Model Agenc y網站,但該惡意軟體在 24小 時內消失,並在一周後重新出現在同一家商店中。但這一次,惡意軟體進入了新澤西的一家書店。

在幾個月中,相同的惡意腳本使用以下被劫持的站點加載並收集被盜的信用卡,進而感染了數十家商店:

stefanoturco.com(在2019-07-19和2019-08-10之間)

technokain.com(在2019-07-06和2019-07-09之間)

darvishkhan.net(在2019-05-30和2019-11-26之間)

areac-agr.com(在2019-05-30和2020-05-01之間)

luxmodelagency.com(介於2019-06-23和2020-04-07之間)

Signedbooksandcollectibles.com(在2019-07-01和2020-05-24之間)

後記: 有關北韓發起的 Magecart 側錄攻擊的消息表示著,專制政權正在使用另一種策略來填補其國庫。Lazarus 的名字很大程度上與加密貨幣交易所和銀行的網路攻擊有關,這是第一次被指控針對零售商店。根據安全公司 Group-IB 的報告,Lazarus 在 2017 年至 2018 年間,成功竊取了價值6億美元的加密貨幣。

竣盟科技官網:

https://www.billows.com.tw/

竣盟科技line@

參考資料:

Source: https://www.bleepingcomputer.com/news/security/north-korean-hackers-linked-to-credit-card-stealing-attacks-on-us-stores/

*****竣盟科技快報歡迎轉載,但請註明出處。

美國500強企業之一, 科技巨頭Xerox全錄公司被納入Maze迷宮勒索軟體的名冊,成為了Maze的受害者!

在越來越多的勒索軟體中,Maze的名聲不能否認是最響亮的,Maze以不付贖金就公開受害公司的隱私資料和和文件受到矚目。據稱Maze已於6月25日完成加密Xerox全錄的系統,但尚未得到Xerox的回應和證實,從Maze背後駭客組織於其架設的Maze News揭秘網站上的螢幕截圖顯示,至少一個Xerox域上的電腦已被加密。Maze一如往常提供入侵受害系統的佐證,並沒透露這起攻擊的其他細節。

Maze背後駭客稱,他們已經從Xerox公司竊取了100GB以上的文件,如果Xerox選擇不參與贖金的談判,他們將公開所有文件。“在付贖金後,數據將從我們的disks刪除,並為您提供解密工具,以便您可以還原所有文件,”勒索信上寫道。

圖片顯示,由Xerox Corporation管理的“ eu.xerox.net”上的主機受到了攻擊,其他域上的系統也可能受到影響。

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

根據Bleeping Computer, Maze勒索軟體入侵了歐洲的Xerox分公司的域,並暗示主機在倫敦。

Xerox全錄公司在至少160個國家/地區擁有龐大的業務。它在2020年第一季度的收入超過18億美元,在全球擁有27,000名員工。它是「財富」美國500強企業之一,目前排名第347位,去年收入超過90億美元。

Maze勒索軟體一直入侵大公司,受害者包括LG電子,晶片製造商MaxLinear,IT巨頭Cognizant和商業服務公司Conduent等等。

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

AlienVault OTX情資平台有針對Maze 勒索軟體的相關情資:

https://otx.alienvault.com/pulse/5df8fc8ca909fd8ac4ccc2ac

參考來源:https://www.bleepingcomputer.com/news/security/business-giant-xerox-allegedly-suffers-maze-ransomware-attack/

*****竣盟科技快報歡迎轉載,但請註明出處。

駭客也來發新聞稿!

竣盟科技快報: 惡名遠播的Maze 勒索軟體來發新聞稿! Maze背後駭客組織於6月22日在其架設的Maze News揭秘網站上, 發佈官方新聞稿, 根據Maze勒索軟體駭客組織稱, 多間試圖解密他們的Maze Locker的企業,花費了比贖金更高昴的三, 四倍價格來聘請第三方資安公司為他們來解密, 不但沒成功,更拖延了公司的正常運作, 他們呼籲嘗試解密並不是在恢復, 而是試圖自殺, 可見Maze對其入侵攻擊充滿信心和狂妄! 

以下附上Maze News揭秘網站上的公開新聞稿, 

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

Maze也特別公開點名有聘用第三方資安公司(為談判者的角色) 的四個個案,包括ST Engineering新加坡新科工程, MaxLinear Inc半導體巨擘麥凌威, IT 網路提供商Conduent Inc , 和M.J.BRUNNER。以下內容Maze為舉例說明: 

一張含有 螢幕擷取畫面, 綠色, 坐, 木製的 的圖片

自動產生的描述

1.ST engineering 已在談判中損失了被公開的5%的資訊和千萬美元,Maze說他們持有ST engineering武器合約, 獨裁國家的合約, 政府資安架構等等。

2. Conduent 和它的子公司的客戶資料包括財務資訊將會被公開。

3. MaxLinear在所謂的談判過程中, 損失了他們的IT 產品的原始碼,還有他們為Intel Corporation的所有開發同時也包約合約和財政報告等等, 損失會高達4億美元

4. 在M.J. Brunner個案中,談判破裂,Maze利用Ragnar Locker 盜來的數據攻擊了另一家公司Seic(https://seic.com/),數據將很快被外洩,因為“談判者在要求不存在的文件”

在Maze 陳述4個跟他們談判的個案時, 他們同時也預警將有LG的資料被公開(綠框部分), 看來這次的新聞稿目標旨在讓受害者”從善如流”的付贖金。

***以上內容單純是資料分享, 不代表本站立場。

參考來源: https://twitter.com/shad0wintel/status/1275181278703255552

*****竣盟科技快報歡迎轉載,但請註明出處。

禍不單行, 日本麒麟Kirin 旗下澳洲Lion公司二度受駭!

禍不單行, 日本麒麟Kirin 旗下澳洲Lion公司二度受駭!

澳洲飲料公司Lion在幾天內遭受第二次網路攻擊,日本麒麟控股Kirin的澳洲子公司Lion 於6月8日發布公告,稱其系統遭遇網路攻擊而癱瘓,它們已採關閉IT系統等措施,影響了其生產線和客戶供應服務等問題。據了解駭客使用REvil勒索軟體攻入Lion,加密了Lion公司的文件並破壞其IT系統,在第一次攻擊時,導致製造流程和客戶服務中斷,據Lion官方網站,它們於6月15日在恢復其系統的運作已經取得良好的進展, 另外也積極地儘快恢復生產缐。Lion公司並未付贖金,據了解REvil經常會在受害者未付贖金的情況下,在暗網上洩漏少量文件作為威脅,將其作為一種討價還價的手段。

雪梨晨鋒報Sydney Morning Herald報導 , Lion公司的CEO, Stuart Irvine在周四(6月18)下午3點的員工會議上對員工說,它們遭到了第二次的網路攻擊,繼而使它們的IT系統進一步被破壞。該公司沒有透露第二次攻擊的詳細過程和相關資訊,僅只證實了第二次攻擊是預期的,攻擊手法也一樣,它們已僱用資安公司Accenture協助其進行恢復運作。

消息人士稱, Irvine對員工說這次攻擊被形容對公司的對網路危機的重大挑戰, 但Irvine也進一步表示, Lion公司現在已經採取了新的控制措施和技術來防止進一步的攻擊。

另外根據資安研究員Shadow Intelligence 的twitter上, 可見REvil 背後的駭客組織已公開他們盜來有關Lion公司的資訊。

根據Sydney Morning Herald報導REvil 的駭客組織要求80萬美金相等於116萬澳元的Monero加密貨幣來解密Lion公司的文件, Lion拒絕評論80萬美元勒索的報導。

有關REvil 的情資: https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

參考來源: https://read01.com/8aEjmx0.html

https://www.smh.com.au/technology/cyber-crisis-deepens-at-lion-as-second-attack-bites-beer-giant-20200618-p5540c.html

*****竣盟科技快報歡迎轉載,但請註明出處

Maze勒索軟體入侵泰國基礎建設-電力公司巨頭, 首次伸延至東南亞!

⚠️Maze勒索軟體的毒手首次伸延至東南亞,入侵泰國基礎建設-電力公司巨頭Provincial Electricity Authority(PEA)

根據網路資安研究員Ransom Leaks爆料,Maze勒索軟體團隊已經入侵和盜取泰國最大電力公司PEA的敏感資訊,並已將8.5GB的公司資料放在”Maze News”的揭秘網站上。

如下圖

根據小編在twitter上的觀察, 從今天早上開始已有民眾投訴不能使用PEA的Kplus系統付費,而PEA官方Twitter也回應,它們的系統目前在維護中,請客戶親臨門市付費。以下附上在Twitter看到PEA客戶對系統不能正常運作的回報及PEA的回覆。如下圖

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

關於泰國電力公司PEA(全稱Provincial Electricity Authority):

泰國省際電力公司PEA作為東南亞最重要的電力企業之一,是泰國最大的電力公司, 負責泰國74個省的電力供應,電網業務覆蓋泰國99.98%的國土面積,

服務1700萬客戶,擁有512個變電站和914個office,

電力傳輸長達10,173 cct-km,電力傳輸光纖資源達到24000 km。

*****竣盟科技快報歡迎轉載,但請註明出處。

紐西蘭CERT發佈的資安警報, 直接引用了OTX平台上針對Nefilim 勒索軟體的相關情資, 值得參考!

紐西蘭CERT(電腦緊急應變團隊)已發布安全警報,警告有關Nefilim勒索軟體組織的攻擊,

CERT NZ提醒遠端工作可能使您的網路面臨Nefilim勒索軟體的風險並發佈了有關利用遠端桌面(RDP)技術和Nefilim勒索軟體活動的資訊,

紐西蘭Cert特別在這份警報裹,引用了AlienVault OTX情資平台上針對Nefilim勒索軟體的相關入侵指標和情資, 在此提供您參考

https://otx.alienvault.com/pulse/5eecd2be0dc1df57dba2a52c

https://otx.alienvault.com/pulse/5ed88c3876496dea6e1403e5

紐西蘭CERT的資安警報: https://www.cert.govt.nz/it-specialists/advisories/active-ransomware-campaign-leveraging-remote-access-technologies/