Maze Cartel 迷宮勒索聯盟又添一員，一個名為SunCrypt的新型勒索軟體

在6月時Maze勒索軟體的背後駭客, 建立了一個名Maze Cartel的敲詐勒索聯盟, 由Maze作為首腦,該聯盟成員包括Lockbit 和Ragnar Locker, 現增加新成員SunCrypt。該敲詐勒索聯盟旨在共享受害者資料, 勒索手法, 技術資訊, 幫助彼此進一步的勒索受害公司。

SunCrypt的背後駭客向外媒BleepingComputer透露其加盟的原因, 據報是因為Maze乏身處理大量的行動，需要更多的支援。SunCrypt補充說:”我們的專長正是發動勒索攻擊。”

SunCrypt進一步透露,如果勒索行動成功, 他們也能分到贖金, 但並未分享有關如何拆分贖金。

以下提供由資安人員Vitali Kremez分享的SunCrypt勒索軟體在PowerShell上的執行

也附上SunCrypt的勒索信樣本和在virus total分析的樣本,供您參考

由於SunCrypt屬新型勒索軟體, 其揭秘網站上目前只列出五名受害者。

竣盟科技建議針對勒索軟體的應對措施:

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階誘捕系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載，但請註明出處

MITRE公布2020年最危險的25個軟體錯誤

軟體錯誤可以是軟體解決方案的程式碼，結構，實現或設計中發現的缺陷和漏洞，漏洞和其他類型的錯誤，可能會使正在運行的系統受到攻擊 ,其中以跨站點腳本（XSS）排名第一, 因為除易於發現和利用之外，攻擊者還可以在成功利用後，完全控制易受攻擊的系統，竊取敏感數據或發動阻斷服務攻擊（DoS）。

為了建立2020年列表，CWE團隊利用了美國國家標準技術研究院（NIST）國家漏洞數據庫（NVD）內的常見漏洞和暴露（CVE®）數據以及常見漏洞評分系統（CVSS）得分與每個CVE相關聯。將公式應用於數據，對每個弱點進行評分。MITER解釋說： “ NVD以易於消化的格式提供資訊，有助於推動以數據驅動的方式建立2020 CWE Top25。”

完整的MITRE–Top 25列表如下：

Rank	ID	Name	Score
[1]	CWE-79	Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)	46.82
[2]	CWE-787	Out-of-bounds Write	46.17
[3]	CWE-20	Improper Input Validation	33.47
[4]	CWE-125	Out-of-bounds Read	26.50
[5]	CWE-119	Improper Restriction of Operations within the Bounds of a Memory Buffer	23.73
[6]	CWE-89	Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)	20.69
[7]	CWE-200	Exposure of Sensitive Information to an Unauthorized Actor	19.16
[8]	CWE-416	Use After Free	18.87
[9]	CWE-352	Cross-Site Request Forgery (CSRF)	17.29
[10]	CWE-78	Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)	16.44
[11]	CWE-190	Integer Overflow or Wraparound	15.81
[12]	CWE-22	Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)	13.67
[13]	CWE-476	NULL Pointer Dereference	8.35
[14]	CWE-287	Improper Authentication	8.17
[15]	CWE-434	Unrestricted Upload of File with Dangerous Type	7.38
[16]	CWE-732	Incorrect Permission Assignment for Critical Resource	6.95
[17]	CWE-94	Improper Control of Generation of Code (‘Code Injection’)	6.53
[18]	CWE-522	Insufficiently Protected Credentials	5.49
[19]	CWE-611	Improper Restriction of XML External Entity Reference	5.33
[20]	CWE-798	Use of Hard-coded Credentials	5.19
[21]	CWE-502	Deserialization of Untrusted Data	4.93
[22]	CWE-269	Improper Privilege Management	4.87
[23]	CWE-400	Uncontrolled Resource Consumption	4.14
[24]	CWE-306	Missing Authentication for Critical Function	3.85
[25]	CWE-862	Missing Authorization	3.77

另外,自2016年以來使用最多的10個漏洞

三個月前的5月12日，美國網路安全和基礎架構安全局（CISA）和聯邦調查局（FBI）還發布了2016年至2019年間最常被利用的十大安全漏洞列表。

根據兩家政府機構–美國網路安全和基礎架構安全局（CISA）和聯邦調查局（FBI）自2016年以來對網路攻擊的分析，惡意行為者最經常利用Microsoft的對象鏈接和嵌入（OLE）技術中的漏洞，其中Apache Struts網路框架是利用率第二高的技術。

CISA說: “在前10名中，來自中國，伊朗，朝鮮和俄羅斯的國家贊助的網路參與者中最常使用的三個漏洞是CVE-2017-11882，CVE-2017-0199和CVE-2012-0158，”。“所有這三個漏洞都與Microsoft的OLE技術有關。”

例如，從2018年12月開始，中國駭客客就頻繁利用CVE-2012-0158，這表明目標組織未針對此漏洞修補其系統，並且威脅參與者只要發現沒有修復就繼續嘗試濫用此安全漏洞。 。

CISA還表示，到2020年，由於COVID-19大流行突然轉移到遠端工作。攻擊者一直在專注於利用像Office 365這樣的雲端協同服務的快速部署，以及利用未修補的Pulse Secure VPN漏洞（CVE-2019-11510）和Citrix VPN（CVE-2019-19781）。

自2016年以來使用最廣泛的十大安全漏洞的完整列表列:

CVE	Associated Malware
CVE-2017-11882	Loki, FormBook, Pony/FAREIT
CVE-2017-0199	FINSPY, LATENTBOT, Dridex
CVE-2017-5638	JexBoss
CVE-2012-0158	Dridex
CVE-2019-0604	China Chopper
CVE-2017-0143	Multiple using the EternalSynergy and EternalBlue Exploit Kit
CVE-2018-4878	DOGCALL
CVE-2017-8759	FINSPY, FinFisher, WingBird
CVE-2015-1641	Toshliph, Uwarrior
CVE-2018-7600	Kitty

Source: https://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html

https://www.bleepingcomputer.com/news/security/us-govt-shares-list-of-most-exploited-vulnerabilities-since-2016/

美國國家安全局 (NSA) 和聯邦調查局 (FBI) 在 8月 13日發布的聯合資安警報，警告說俄羅斯間諜正在使用新型惡意軟體入侵 Linux 作業系統。

美國國家安全局和聯邦調查局表示，這是一個初次公佈的惡意軟體“ Drovorub”，據了解該惡意軟體是由與俄羅斯軍隊相關的國家贊助駭客組織 APT 28，又稱為 Fancy Bear 所部署的，而 APT 28 隸屬於俄羅斯總參謀部情報總局 (GRU) 第 85 主要主要特勤中心。

在一份長達 45頁的詳細報告中，這些機構指責駭客將 Drovorub 作為俄羅斯間諜活動的一部分，並提供了檢測和減輕感染的建議。

Drovorub 可讓國家贊助的駭客開展各種活動，例如竊取文件、建立後門訪問權限、遠端控制目標電腦。Drovorub 惡意軟體實作了一種先進的偵測躲避技術，它利用進階的 “rootkit” 功能躲避偵測。

惡意軟體的客戶端可以直接與威脅參與者的 C2 基礎結構通信，具有文件上傳/下載功能，具有 “root” 特權的用戶可以執行任意命令，並且可以將網路流量轉發到網路上的其他電腦。

根據該報告，rootkit 非常成功的隱藏在受感染的電腦上，並且可以在重新啟動後保留下來，除非在 UEFI 啟動時選用 “Full boot” 或 “Thorough boot” 模式下以安全啟動。

報告描述了每個 Drovorub 元件的技術細節，這些元件透過 WebSockets 以 JSON 格式相互通信，並使用 RSA 算法對往返於伺服器的流量進行加密。

美國國家安全局和聯邦調查局建議組織將任何 Linux 系統更新為核心版本 3.7 或更高的版本，以避免受 Drovorub 惡意軟體的 rootkit 感染。

該聯合警報建議運行記憶體取證，探測文件隱藏行為，同時包含 snort 規則和 Yara 規則以檢測威脅。

專家還建議，網路邊界的封包數據檢測可用於發現網路上的 Drovorub 惡意軟體，而基於主機的威脅檢測方法包括掃瞄、資安產品、即時回應、記憶體分析和媒體（磁碟映像）分析，專家還建議系統擁有者使用有效且已簽章的模組進行登入。

欲了解更多關於 Drovorub 惡意軟體的相關情資，可至 OTX 社群:

https://otx.alienvault.com/pulse/5f3581cc4138be1d82c183b8

Source:https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF

竣盟科技官網:

https://www.billows.com.tw/

外媒爆料並加上影片, 證實 Garmin 取得解密工具!  知名資安外媒 BleepingComputer 研究人員證實，Garmin 已收到解密金鑰，以恢復被 WastedLocker 勒索軟體加密的文件。

7月24日，智慧手錶和可穿戴設備製造商 Garmin 因內部網路和某些生產系統被勒索軟體攻擊而關閉了部分服務，此中斷事件也影響了公司的 Call Center。

Garmin 客戶使用的大多數服務都依賴 Garmin Connect 服務，將跑步和騎行等相關數據同步到伺服器上。

即使該公司沒有提供停機的細節，也有幾名員工在社交媒體上分享了關於勒索的軟體攻擊細節。一些員工後來告訴 BleepingComputer，這是受一種新型勒索軟體 WastedLocker 的攻擊所造成，並被要求以贖金 1000萬美元以獲得解密金鑰。

7月28日， 該公司發公告坦承遭到網路攻擊後，並且已恢復了服務的運行。

現在 BleepingComputer 確認參與攻擊的惡意軟體家族是 WastedLocker 勒索軟體，它訪問了 Garmin IT 部門並建立了可執行文件來加密工作站。也這意味著該公司據稱已向勒索軟體運營商付款，以獲取文件的解密器。

“要獲得有效的解密密鑰，Garmin 已向攻擊者支付了贖金。但不知道要付了多少錢“，如前所述，一名員工告訴 BleepingComputer，最初的贖金要求為1000萬美元。復原軟體包括各種軟體安裝程式、解密金鑰、WastedLocker 解密程式以及用於運行所有軟體包的 Script。” 如下圖

執行時，復原包將對電腦解密並為電腦準備安全軟體

如上圖: 嵌入式腳本清楚地表明該程式包是由 Garmin IT 部門的 APAC(亞太地區)部門建立的，Garmin 的 Script 包含時間戳記’07 / 25/2020’，這說明贖金是在 7月 24日或 7月 25日支付的。

透過使用 Garmin 攻擊中的 WastedLocker 範例，BleepingComputer 也對虛擬機進行了加密測試，以了解密程序是否真的可以將文件復原。如下影片

但由於您永遠不知道攻擊者在入侵期間進行了哪些竄改, 在遭受勒索軟體攻擊後, 公司都應遵循使用乾淨的安裝程式重新安裝作業系統。根據影片 Garmin 似乎並沒有遵循此準則，而只是解密工作站並安裝安全軟體。

由於WastedLocker背後的犯罪分子 Evil Corp受到美國政府制裁，這對於 Garmin 來說可能會變得非常棘手。

WastedLocker 技術分析的情資:

https://otx.alienvault.com/pulse/5f2456d64abc49a9d4520dfe

Source: BleepingComputer https://www.bleepingcomputer.com/news/security/confirmed-garmin-received-decryptor-for-wastedlocker-ransomware/amp/

*****竣盟科技快報歡迎轉載，但請註明出處。