伊朗國家級駭客組織以惡意資料抹除程式(Wiper)偽裝勒索軟體瞄準以色列

Key Points:

-伊朗APT駭客組織Agrius以偽裝成勒索軟體的資料抹除程式(Wiper)鎖定以色列

-該惡意軟體被命名為使徒(Apostle)

-駭客組織Agrius曾使用DEADWOOD,一個由駭客組織APT33和APT34共享的另一個資料抹除工具。

-攻擊中使用的其他惡意軟體包括 ASPXSpy Webshell和 IPSec Helper後門

Sentinel Labs的資安研究人員發現一個伊朗駭客組織,以偽裝成勒索軟體的惡意資料抹除程式,從2020年12月開始對以色列發動了破壞性攻擊,被稱為使徒(Apostle)的惡意程式早期版本存在bug,在嘗試刪除資料時會失敗。後期的版本修復了bug,還加入了勒索軟體行為,留下勒索信,通知要贖金才解密資料。研究人員根據程式碼以及它使用的伺服器斷言開發該惡意程式的駭客組織與伊朗政府有關聯,它的主要攻擊目標是以色列。研究人員將該駭客組織命名為Agrius,並認為Agrius偽裝成勒索攻擊的背後是為了掩蓋毀滅數據的實際意圖。

Agrius攻擊週期摘要 , Photo credit: Sentinel Labs

SentinelOne發現最早期的攻擊,Agrius使用一個名為DEADWOOD的數據抹除惡意軟體,為了安裝 DEADWOOD,Agrius會利用未修補伺服器中的漏洞在目標網路上建立立足點,用來部署 ASPXSpy web shell和IPSec Helper的後門。一旦入侵目標網路,Agrius駭客小組將部署DEADWOOD,銷毀MBR 磁碟分割並抹除檔案,然後要求支付贖金以分散受害人的IT團隊其攻擊的真正目的,但是由於DEADWOOD是一個已知的惡意軟體,易被檢測到。

因此Agrius駭客組織在2020年底前建立了一個新工具Apostle,名為Apostle的惡意資料抹除程式,不僅包含DEADWOOD 的功能,更進一步的修復了DEADWOOD在程式碼上的bug,並添加了檔案加密功能,使Apostle變成了功能齊全的勒索軟體,儘管Apostle存在功能強大的檔案加密,但資安研究人員評估了Agrius攻擊的目的僅是削弱營運而不是勒索,故不可能是出於經濟動機的駭客組織。

研究人員還指出,該組織突然重新關注以色列的意義重大,證實了特拉維夫和德黑蘭政府之間網路緊張局勢有升級的趨勢。

有關Agrius駭客組織的情資:

https://otx.alienvault.com/pulse/60ad107f73681c1bc1032235

Source:

https://assets.sentinelone.com/sentinellabs/evol-agrius

Conti勒索軟體為愛爾蘭衛生健康署提供”免費”解密程式,但稱仍會公開盜取的資料,愛爾蘭高等法院發布超級禁令,要求Conti歸還數據

Conti勒索軟體的背後駭客已為愛爾蘭衛生健康署(Health Service Executive, HSE)發布了免費的解密程式,但警告他們仍將出售或公開盜來的數據。上週五(5/15),愛爾蘭的HSE(即該國的公共資助醫療系統)和衛生部(Department of Health)遭到了Conti勒索軟體攻擊,後者所幸及時發現未被得逞, HSE被迫關閉其IT系統並切斷網路預防災害擴大,但該國的衛生服務被仍嚴重影響。

據相信攻擊背後的網路犯罪組織為巫師蜘蛛(Wizard Spider),其總部位於俄羅斯聖彼得堡地區,該組織主要使用Trickbot,Ryuk和Conti三種惡意軟體。

今天Conti的背後駭客在其與HSE的談判頁面上發布了指向免費解密工具的連結,該連結可用於免費復原被加密的檔案。資安研究組織Malware Hunter Team也證實解密工具能還原HSE的檔案,但駭客警告說,如果不支付19,999,000美元的贖金,他們仍將在出售或公開盜取的私人數據。

Conti在其與HSE的談判頁面上發布的免費解密程式

愛爾蘭的BH Consulting的CEO,Europol的前網路安全顧問Brian Honan表示,即使解密工具有效,上週攻擊達到前所未有的規模,HSE需重建其IT基礎架構。他說:“這是為了確保系統乾淨無感染,並且罪犯沒有在這些系統上植入任何其他惡意軟體。”

今早,HSE獲得了都柏林高等法院(Dublin’s High Court)的禁令,該禁令要求擁有從HSE竊取數據的任何人將其移交,並且不得透露,交易或處理該數據。HSE表示,此舉旨在將在Google和Twitter等網站共享HSE被盜的數據視為非法, HSE同時已將該禁令上傳Conti勒索軟體的暗網頁面上。

法院的禁令還包含求威脅行為者歸還數據,並通過透露其姓名,電子郵件地址和實際地址來識別身份。

相信Conti的背後駭客不會屈服於禁令,但預計駭客所在的國家將幫助跟踪和防止威脅行為者洩漏數據。

愛爾蘭國家網路安全中心發布警報,有關Conti勒索軟體對衛生部門攻擊的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

其他有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

繼愛爾蘭醫療系統被駭後,Conti勒索軟體又作惡,新西蘭五間醫院的IT系統中斷,當地官員稱不會付贖金

Key Points:

*受影響的醫院有五間,分別是Waikato醫院, Thames醫院, Tokoroa醫院, Te Kuiti 醫院和Taumaranui醫院

*門診,預約和即將進行手術的病患均已被延遲,並且無法獲取病患的病歷

*醫院員工透露,現場一片混亂,因為什麼都不能做

*懷卡托衞生委員會(Waikato District Health Board,WDHB)已啟動了危機應變方案危機應變方案,以解決此次一網路攻擊事件

Covid 19疫情爆發,世界各地的醫療機構受到各種威脅,不少駭客藉疫情作惡,5月18日新西蘭多個媒體報導,由於WDHB的IT系統遭到駭客攻擊而中斷,當地的所有公立醫院因而受到嚴重的影響,由於電話及電腦系統癱瘓不能繼續門診服務,同時預約服務和即將進行的非緊急手術病患均受到影響,醫護也不能翻查病患的病歷。醫生工會說,醫院和門診人員將系統中斷描述為完全是一片混亂(mayhem) ,有必要將其他一些患者轉移到其他醫院。

當地的醫生協會國家秘書長Deborah Powell表示,據她了解此事件是由Conti勒索軟體所引起的,是與上週對愛爾蘭衛生健康署(Health Service Executive, HSE)發動攻擊的勒索軟體為同一款。

懷卡托衞生委員會(WDHB)在其Facebook頁面上說:“我們已聘請外部援助來解決影響我們IT服務環境的網路安全事件。我們正處於查明所發生情況的早期階段,目前無法在調查事件時提供進一步的細節。已向有關政府當局提供了有關情況的通知。我們不確定解決這種情況將需要多長時間,但我們正在努力使我們的服務恢復。”

Conti被認為是Ryuk 勒索軟體的繼任者,於2020年6月份被發現, 其特色是以32個CPU執行緒進行加密, 同時加密大量檔案,讓防護系統來不及因應。Conti曾於去年11月攻擊研華,要脅750比特幣,約1300萬美元。

愛爾蘭國家網路安全中心發布警報,有關Conti勒索軟體對衛生部門攻擊的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

其他有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

安盛集團旗下子公司遭Avaddon勒索軟體攻擊,被盜3TB數據,駭客持續發動DDoS,影響集團於香港,泰國,馬來西亞等地的IT運作

法國保險業巨擘安盛集團(AXA)子公司Asia Assistance周日(16)證實受到勒索軟體攻擊,集團於香港、泰國、馬來西亞及菲律賓的IT營運受到影響,有客戶敏感資料被盜取。

Avaddon勒索軟體在暗網上有關安盛的頁面

駭客盜取安盛亞洲子公司取了3 TB的數據,據稱其中包括:

身份證

護照複印本

客戶索償記錄

保留協議

拒絕報銷

向客戶付款

合約和報告

所有客戶ID和所有客戶銀行帳戶掃描的檔案

醫院和醫生保留資料(針對欺詐的私人調查)

客戶醫療報告(包括HIV,肝炎,性病和其他疾病報告)。

被駭客公開的護照

直到目前,發現安盛的馬來西亞和菲律賓網站仍不能正常運作,但其香港和泰國網站運作正常。

Avaddon勒索軟體背後的駭客於2021年1月首次宣布,他們將發動DDoS攻擊 ,以摧毀受害者的站點或網路,直到他們主動聯繫並開始就支付贖金進行談判為止。

安盛表示,正調查事件,已通知監管部門及合作夥伴,亦會採取適當措施包括通知受影響客戶。考慮到事件發生的時間,值得注意的是,上週,聯邦調查局(FBI)和澳洲網路安全中心(ACSC)警告說, Avaddon勒索軟體目前正在針對來自美國和世界各地眾多組織進行攻擊。

值得一提的是,大約一周前安盛表示,在法國承保網路保險時將不再理賠勒索軟體的勒索支付。

有關Avaddon的情資,請參考如下:

https://otx.alienvault.com/pulse/60661066000335dac8276e3c

https://otx.alienvault.com/pulse/609975b375143cab4797b20c

Source: https://www.reuters.com/article/us-axa-cyber/axa-division-in-asia-hit-by-ransomware-cyber-attack-idUSKCN2CX0B0

外媒報導美運油公司Colonial Pipeline已向操作DarkSide的駭客支付了約新台幣1.39億元的贖金,以換取解密工具。

Colonial Pipeline已經重啟了整個管道系統,開始向所有的市場輸送產品

Key Points:

*DarkSide的解密工具還原速度太慢,Colonial Pipeline仍需使用其備份來幫助恢復系統。

*知情人士證實,美輸油管Colonial Pipeline遭駭客發動勒索軟體攻擊後,向駭客支付了贖金支付近500萬美元(約新台幣1.39億元)

*綜合外媒報導,Colonial Pipeline在發現攻擊後不久就付款了,仍未能阻止這次癱瘓美東運輸管線的事件

*路透社報導,Colonial Pipeline的網路保險承保範圍至少為1500萬美元

美國Bloomberg News周四(5/13)報導,美國東岸最大的燃油管線營運業者 Colonial Pipeline 上週遇勒索軟體攻擊的事件,被迫關閉美東最大管線系統,導致東岸近一半的燃料供應中斷,並導致美國東南部的汽油短缺,威脅數百萬人的汽油供應,拜登政府一度為此發布緊急狀態。

外媒消息指,Colonial Pipeline以比特幣支付近500萬美元(台幣約1.39億元)的贖金給DarkSide,但解密工具解密太慢,以至於備份也用於恢復系統。5/13早些時候,美國總統拜登在被問及Colonial Pipeline是否支付了贖金時拒絕發表評論。白宮新聞秘書Jen Pskai在簡報中告訴記者,由於支付了贖金可能會激勵網路犯罪分子發動更多攻擊,因此聯邦政府仍然是不支付贖金的立場。

FBI指DarkSide在東歐或俄羅斯運作,拜登表示,幕後黑手在俄羅斯,但沒有證據顯示俄羅斯政府參與此次駭攻。拜登指出,事件反映美國須加強基礎建設安全性,並於周三(5/12)簽署行政命令,加強聯邦政府及私人機構的網路保安。

另外,德國化學品分銷龍頭布朗德(Brenntag)在5月初也遭DarkSide加密,偷走了150Gb數據,後證實在5月11日已支付440萬美元的贖金。

DarkSide是一種勒索軟體即服務(Ransomware-as-a-Service, RaaS)的運作方式,勒索軟體開發人員與負責獲取網路存取權和加密設備的第三方會員或駭客合作。勒索成功之後,DarkSide核心團隊將獲得20-30%的贖金,其餘的將歸進行攻擊的關聯會員所有。

有關DarkSide的情資,請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

Source:

https://www.reuters.com/business/energy/colonial-pipeline-has-cyber-insurance-policy-sources-2021-05-13/

https://www.bleepingcomputer.com/news/security/colonial-pipeline-restores-operations-5-million-ransom-demanded/

https://edition.cnn.com/2021/05/12/politics/colonial-pipeline-ransomware-payment/index.html

美油管Colonial Pipeline遇駭,造成燃料短缺引高度關注,拜登今簽署行政命令以增強美國網路安全的防禦能力

美國總統拜登今天簽署網路安全行政命令,旨在現代化美國抵禦網路攻擊的防範,建立標準化的事件回應手冊,並加強服務提供商與執法部門之間的溝通,該行政命令是繼今年針對美國眾多的網路攻擊(如去年12月開始的 SolarWinds供應鏈攻擊Microsoft Exchange伺服器漏洞以及最近針對美國最大的燃料管道Colonial Pipeline的攻擊等)之後下達的。

拜登周三命令美國機構和為其提供服務的軟體承包商加強對網路攻擊的防禦措施,並讓他們更及時地獲得執法部門進行調查所必需的資訊。行政命令為美國機構和向政府供貨的軟體承包商制定了基準網絡安全標準,包括要求使用多重認證和加密,並要求聯邦資訊技術供應商披露關於駭客的某些數據。

該命令還設立了一個網路安全審查委員會,由政府和私人企業的網路安全專家共同領導。該委員會將被授權調查重大網路入侵事件併發布安全建議。官員們說,該委員會大致仿照美國全國運輸安全委員會(National Transportation Safety Board)的運作模式,後者負責調查飛機失事和其他交通事故。

行政命令指示政府採取以下行動:

*要求IT和OT服務提供商(包括雲託管提供商)共享有關他們已意識到的網路安全威脅和入侵,並消除阻礙共享此類資訊的合約問題。

*現代化聯邦政府的IT服務,包括向零信任(Zero Trust)架構邁進,要求多重要素驗證,對靜態數據和傳輸中的數據進行加密,並針對使用雲端服務制定嚴格的安全準則。

*通過制定準則,工具和最佳實踐來審核和確保關鍵軟體不會在供應鏈攻擊中受到惡意參與者的篡改,從而提高供應鏈的安全性。作為該計劃的一部分,聯邦政府將建立一個“能源之星”類型的程式,以表明軟體是安全開發的。

*建立一個“網路安全審查委員會”,其中包括聯邦和私人企業的成員,他們將在重大網路事件後召集會議,以評估攻擊,提供建議並與執法部門共享相關的機密資訊。

*在所有政府機構中創建標準化的playbook,以應對入侵和網路攻擊。

*通過部署集中式端點檢測和回應(EDR)解決方案以及政府內部資訊共享,改善對政府網路上的安全漏洞和入侵行為的檢測和補救。

值得一提的是,拜登針對網路安全的行政命令是在Colonial Pipeline宣布重啓管道運作的一小時後簽署的。

關於改善美國網路安全的行政命令:

https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

美國宣布進入緊急狀態後,使用DarkSide勒索軟體的駭客稱將會對攻擊的對象審查並澄清他們目的只為錢,無意造成社會不安

操作勒索軟體 DarkSide 的駭客在暗網聲明中表示,該組織並不參與地緣政治,目的只是為了錢,後續將引入審核機制,以避免未來(使用DarkSide勒索軟體的)合作夥伴進行加密(勒索)時造成社會後果。

據多家國外媒體報導,普遍認為攻擊美國輸油管道供應商Colonial Pipeline為DarkSide勒索軟體的背後駭客。美國FBI隨後於10日也證實,Colonial Pipeline是遭到勒索軟體DarkSide的攻擊,並於11日與CISA共同發布針對DarkSide勒索軟體TLP:White的資安諮詢以警告企業提防勒索攻擊。

資安公司Cyber​​eason介紹,DarkSide是一個駭客組織,通過開發勒索駭客工具並向客戶提供“勒索服務”盈利。雖然行勒索之事,但該組織對於展現道德水平有一定追求,甚至向用戶發布行為準則以規定哪些目標可以被攻擊。諸如政府機構、學校、醫院等屬於禁止對象,與之相對的是鼓勵攻擊英語國家的盈利公司。

  Cyber​​eason透露,DarkSide採取的是“雙重勒索”攻擊,不僅鎖住被害者的數據勒索贖金,同時也會竊取數據並威脅在公司拒絕支付贖金的情況下公之於眾。目前該組織已經公佈了四十餘家公司的機密資料。

  雖然DarkSide在聲明中並沒有提及輸油網絡的事件,但這份聲明措辭明顯指向這起事件。在該聲明發布數小時後,美國聯邦調查局週一中午也在官網確認Darkside勒索軟件應當為Colonial Pipeline攻擊事件負責,FBI將繼續與涉事公司和相關政府機構共同調查這一事件。

  值得一提的是,在DarkSide聲明發布後WTI原油期貨一度從漲1%快速跳水轉跌,但目前Colonial Pipeline僅通過聲明表示正在恢復一些終端間的分支管道,後續只有在公司確保安全且獲得聯邦政府批准後才會讓整個系統重新上線。此前根據市場人士預期,考慮到庫存情況,Colonial Pipeline管網在中斷五天左右後產生的影響將開始顯著提升。

另外,根據FireEye的追隨,下圖為有關DarkSide勒索軟體的攻擊戰術流程(TTPs)

有關DarkSide的情資,請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

負責美國東岸近一半燃油供應的Colonial Pipeline遭Darkside勒索軟體攻擊,5月7日突然宣布關閉整個輸送網路,迄今仍未恢復

美國最大燃油管道公司Colonial Pipeline在5月7日遭駭客攻擊,在兩小時內被盜取近100GB數據,並植入惡意程式加密數據鎖住系統,需要全面關閉人口稠密的東岸各州供應的關鍵燃料網路,影響美國東岸接近一半的燃油供應。據美國政府官員等消息人士指,相信駭客來自俄羅斯犯罪集團並使用DarkSide勒索軟體。Colonial Pipeline公司已聘請第3方資安公司調查,並已通知聯邦政府及執法部門。

DarkSide在黑暗網上的網站
DarkSide在暗網上的網站詳細自我介紹
DarkSide勒索信的樣本

Colonial Pipeline官方聲明指,電腦系統遭網攻,需暫停所有燃油管道運作,以避免發生意外並控制威脅。公司隨後確認,事件涉及勒索軟體。Colonial Pipeline屬美國最大的燃油管道公司,設有長達5,500英里的管道,將燃料從墨西哥灣沿岸運送至美國東南部,更佔東岸燃料45%供應,服務5,000萬民眾,包括美國軍方。Colonial Pipeline每天從美國墨西哥灣沿岸的煉油帶向東海岸輸送汽油、柴油和航空燃料,每天可從休斯敦向遠到北卡羅來納州輸送約250萬桶,另可向紐約輸送90萬桶,其廣泛的管道網路服務於美國主要機場,包括亞特蘭大的機場,這是全球客流量最高的機場。

DarkSide過往亦曾針對巴西兩家國營電力公司進行類似的網路攻擊,使電力供應受影響。有專家表示,勒索軟體攻擊工業的事件比想像中更頻繁發生,但相關消息甚少獲得報道。

白宮亦對此發表聲明,表示總統拜登(Joe Biden)已聽取事件簡報,聯邦政府正努力評估影響,盡力協助Colonial Pipeline恢復運作,避免燃料供應中斷。美國能源部發言人表示,正與Colonial Pipeline,州政府,能源業人士及多個政府部門合作,支援Colonial Pipeline維持服務,並監察能源供應是否有受影響。

有關DarkSide的情資,請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/5d5d6e09e5809a8cb83bcea1

Source:

https://www.washingtonpost.com/business/2021/05/08/cyber-attack-colonial-pipeline/

https://www.worldoil.com/news/2021/5/9/oil-traders-work-to-avert-shortages-from-us-pipeline-hack

https://www.bloomberg.com/news/articles/2021-05-09/colonial-hackers-stole-data-thursday-ahead-of-pipeline-shutdown

https://www.nbcnews.com/politics/national-security/russian-criminal-group-may-be-responsible-colonial-pipeline-ransomware-attack-n1266793

得不償失!Ryuk勒索軟體通過一名學生安裝盜版軟體後,獲得切入點,使一家在歐洲從事COVID-19的生物分子研究機構,損失了研究數據。

大多數勒索軟體的感染途徑是使用網路釣魚,然後再針對具有漏洞的伺服器。但是歐洲出現了一起新案例,根據安全公司Sophos的說法,一名能夠存取歐洲研究機構網路的學生在安裝了盜版軟體後暴露了他的登錄憑證,該盜版軟體也被證實是盜竊密碼的惡意軟體。歐洲一家未具名的生物分子研究所的學生在安裝了一個“破解”軟體後,意外地為該研究所打開了被勒索軟體攻擊的大門。

該研究所一直在進行COVID-19研究,並與歐洲當地大學建立了緊密的合作關係,使學生能夠通過Citrix的遠端存取客戶端連接到該機構的內部網路。不幸的是,一個可以存取網路的學生下載了一個盜版軟體,這使研究機構受到攻擊。

據Sophos稱,這位不願透露姓名的學生,想擁有一個在研究工作中使用data visualization 的軟體,但該軟體license每年需花費數百美元,該學生搜索了可在Windows電腦上使用的“破解版” 軟體下載並安裝。該檔案實際上是純惡意軟體,並在下載安裝過程中觸發了Windows Defender發送了安全警報,但該學生仍繼續下載並disable了Windows防病毒程式和電腦上的防火牆。

在下載成功後該學生得到的不是惡意破解的可視化工具,而是一個竊取資料的惡意軟體(info-stealer),一旦安裝,就開始記錄按鍵動作,竊取瀏覽器,Cookie和剪貼板數據等等,因而也找到了學生對研究機構網路的存取憑據。

Sophos推測,竊取資料的惡意軟體的背後駭客,將登錄憑據出售給臭名昭著的Ryuk勒索軟體的背後駭客。在安裝了盜版軟體的13天後,利用學生的登錄憑證與研究機構建立了神秘的遠端桌面(RDP)連接。研究人員指出,這連接是通過一台名為龍貓(Totoro)的電腦進行的,“在建立這種連接的十天後,部署了Ryuk勒索軟體”,Sophos補充說。

這次事件,由於備份尚未完全更新,該研究機構損失了一周的研究數據。此外,在研究所恢復正常運作之前,必須從頭開始重建系統和伺服器檔案。

有關Ryuk的情資,請參考如下:

https://otx.alienvault.com/pulse/602d94a51d5a1e11cc85feef

https://otx.alienvault.com/pulse/5f99dd6b17da45dfb9dc296e

https://otx.alienvault.com/pulse/5ff75814478f6984b7bf5515

https://otx.alienvault.com/pulse/606dc14b4af856929a578e3a

Source:

MTR in Real Time: Pirates pave way for Ryuk ransomware

REvil的揭秘網站上廣達的頁面不見了,這意味著什麼?

使用REvil勒索軟體的駭客組織在其暗網Happy Blog中突然移除廣達的頁面,同時也刪除了有關蘋果MacBook 的設計圖。

4月21發現REvil背後的駭客組織稱成功入侵台灣代工大廠廣達並取得大量機密資料,包含蘋果MacBook 設計圖等,但日前突然傳出上載到REvil暗網的Mac 產品設計圖已被移除,同時有關廣達的頁面也被刪除了。如下圖顯示:

另外根據bleepingComputer的報導,REvil突然將檔案從暗網移除(或隱藏起來),與他們一貫手法有異,猜測駭客是為了與廣達談判而暫時將數據洩漏頁隱藏,同時又停止向媒體爆料,BleepingComputer取得REvil給廣達最新的贖金倒數頁面:

駭客從之前勒索5千萬美元降價至2千萬美元,並將截止付款日延後至5月7日,另外駭客也揚言如沒有得到廣達的回應,將公開新的Apple logo和 iPad計劃等資料。

根據法國資安媒體LeMagIT統計,REvil在過去12個月裡已知攻擊的數量如下圖所示,僅在4月份已入侵了26個機構。

在昨天4月27日,REvil背後的駭客發布了一個新的受害者頁面,Kajima Corp即日本鹿島建設株式會社,REvil稱已從日本鹿島建設株式會社竊取了大量機密資料,如合約,保密協議和藍圖,設計圖等,共盜13000000個檔案,並”建議”該株式會社在5月1日前買回檔案,REvil背後的駭客無疑為當今最活躍的網路犯罪團體之一。

有關REvil的情資,請參考如下:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff