MITRE發布的2020最危險軟體漏洞類型 Top 25 的列表

MITRE公布2020年最危險的25個軟體錯誤

軟體錯誤可以是軟體解決方案的程式碼,結構,實現或設計中發現的缺陷和漏洞,漏洞和其他類型的錯誤,可能會使正在運行的系統受到攻擊 ,其中以跨站點腳本(XSS)排名第一, 因為除易於發現和利用之外,攻擊者還可以在成功利用後,完全控制易受攻擊的系統,竊取敏感數據或發動阻斷服務攻擊(DoS)。

為了建立2020年列表,CWE團隊利用了美國國家標準技術研究院(NIST)國家漏洞數據庫(NVD)內的常見漏洞和暴露(CVE®)數據以及常見漏洞評分系統(CVSS)得分與每個CVE相關聯。將公式應用於數據,對每個弱點進行評分。MITER解釋說: “ NVD以易於消化的格式提供資訊,有助於推動以數據驅動的方式建立2020 CWE Top25。”

完整的MITRE–Top 25列表如下:

RankIDNameScore
[1]CWE-79Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)46.82
[2]CWE-787Out-of-bounds Write46.17
[3]CWE-20Improper Input Validation33.47
[4]CWE-125Out-of-bounds Read26.50
[5]CWE-119Improper Restriction of Operations within the Bounds of a Memory Buffer23.73
[6]CWE-89Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)20.69
[7]CWE-200Exposure of Sensitive Information to an Unauthorized Actor19.16
[8]CWE-416Use After Free18.87
[9]CWE-352Cross-Site Request Forgery (CSRF)17.29
[10]CWE-78Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)16.44
[11]CWE-190Integer Overflow or Wraparound15.81
[12]CWE-22Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)13.67
[13]CWE-476NULL Pointer Dereference8.35
[14]CWE-287Improper Authentication8.17
[15]CWE-434Unrestricted Upload of File with Dangerous Type7.38
[16]CWE-732Incorrect Permission Assignment for Critical Resource6.95
[17]CWE-94Improper Control of Generation of Code (‘Code Injection’)6.53
[18]CWE-522Insufficiently Protected Credentials5.49
[19]CWE-611Improper Restriction of XML External Entity Reference5.33
[20]CWE-798Use of Hard-coded Credentials5.19
[21]CWE-502Deserialization of Untrusted Data4.93
[22]CWE-269Improper Privilege Management4.87
[23]CWE-400Uncontrolled Resource Consumption4.14
[24]CWE-306Missing Authentication for Critical Function3.85
[25]CWE-862Missing Authorization3.77

另外,自2016年以來使用最多的10個漏洞

三個月前的5月12日,美國網路安全和基礎架構安全局(CISA)和聯邦調查局(FBI)還發布了2016年至2019年間最常被利用的十大安全漏洞列表。

根據兩家政府機構–美國網路安全和基礎架構安全局(CISA)和聯邦調查局(FBI)自2016年以來對網路攻擊的分析,惡意行為者最經常利用Microsoft的對象鏈接和嵌入(OLE)技術中的漏洞,其中Apache Struts網路框架是利用率第二高的技術。

CISA說: “在前10名中,來自中國,伊朗,朝鮮和俄羅斯的國家贊助的網路參與者中最常使用的三個漏洞是CVE-2017-11882,CVE-2017-0199和CVE-2012-0158,”。“所有這三個漏洞都與Microsoft的OLE技術有關。”

例如,從2018年12月開始,中國駭客客就頻繁利用CVE-2012-0158,這表明目標組織未針對此漏洞修補其系統,並且威脅參與者只要發現沒有修復就繼續嘗試濫用此安全漏洞。 。

CISA還表示,到2020年,由於COVID-19大流行突然轉移到遠端工作。攻擊者一直在專注於利用像Office 365這樣的雲端協同服務的快速部署,以及利用未修補的Pulse Secure VPN漏洞(CVE-2019-11510)和Citrix VPN(CVE-2019-19781)。

自2016年以來使用最廣泛的十大安全漏洞的完整列表列:

CVEAssociated Malware
CVE-2017-11882Loki, FormBook, Pony/FAREIT
CVE-2017-0199FINSPY, LATENTBOT, Dridex
CVE-2017-5638JexBoss
CVE-2012-0158Dridex
CVE-2019-0604China Chopper
CVE-2017-0143Multiple using the EternalSynergy and EternalBlue Exploit Kit
CVE-2018-4878DOGCALL
CVE-2017-8759FINSPY, FinFisher, WingBird
CVE-2015-1641Toshliph, Uwarrior
CVE-2018-7600Kitty

Source: https://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html

https://www.bleepingcomputer.com/news/security/us-govt-shares-list-of-most-exploited-vulnerabilities-since-2016/

美國威士忌中蟬連第一的田納西威士忌-Jack Daniel’s Whiskey的母公司Brown-Forman百富門集團遭受REvil勒索軟體攻擊,被盜竊1TB數據。

Pin on Whiskey
Jack Daniel’s 威士忌

美國最大的烈酒公司Brown-Forman,歷史悠久,旗下品牌眾多包括Jack Daniel’s Whiskey,Old Forester, Woodford,Glenglassaugh等等。Brown-Forman總部位於肯塔基州。在全球共有6000多名員工,年銷售收入20多億美金。

REvil勒索軟體背後駭客於上周五宣布,他們已經破壞了Brown-Forman的電腦網路,並用一個多月的時間檢查Brown-Forman的用戶服務,雲端數據存儲和總體結構。據外媒BleepingComputer報導, REvil勒索軟體背後駭客在其揭秘網站上發布了多個螢幕截圖,其中顯示了據稱屬於Brown-Forman的目錄和文件。Revil聲稱他們竊取了1TB數據,其中包括公司協議、合同、財務報表和內部通信的等等機密數據。



隨後Brown-Forman在一份聲明中披露了該事件,承認遭受到勒索軟體的攻擊,同時他們披露了有關該事件的一些細節,該公司也向當局報告了此資安事件,並聘請了世界一流的第三方數據安全專家來調查此事件並盡快解決此問題。Revil勒索軟體攻擊的最後一步是加密數據,但REvil此次並未部署此例程攻擊。Brown-Forman發言人告訴外媒,他們在數據被鎖定之前就發現了攻擊,並成功將其阻止。

Brown-Forman發言人說,很遺憾我們認為某些數據包括員工數據受到了影響。我們正在與執法部門以及世界一流的第三方數據安全專家緊密合作,以儘快緩解和解決這種情況。

REvil勒索軟體於五月駭入了美國娛樂律師事務所 Grubman Shire Meiselas & Sacks和斯里蘭卡電信, 六月攻擊了阿根廷電信和澳洲飲料大廠Lion公司, 七月入侵了西班牙國家鐵路公司Adif等等,行徑相當大膽!

有關REvil 的情資:

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

加密蠕蟲竊取AWS憑證, TeamTNT成為第一個包含可掃描和竊取AWS憑證功能的加密挖礦殭屍網路…

TeamTNT成為第一個包含可掃描和竊取AWS憑證功能的加密挖礦殭屍網路

TeamTNT是一個針對Docker環境安裝的網路犯罪組織,該小組通過訪問API在Docker環境中部署DDoS和加密挖礦惡意軟體。TeamTNT的工作方式是在互聯網上掃描配置錯誤的Docker環境,將其管理API暴露在互聯網上並無需輸入密碼。

Cado Security表示它檢測到第一個具有從受感染主機竊取AWS憑證和配置詳細資料的功能的挖礦蠕蟲(殭屍網路)

在 8月17日英國安全公司Cado Security發布的報告中,表示TeamTNT最近更新了其操作方式。Cado研究人員說,除了原始功能之外,TeamTNT現在還擴大了針對Kubernetes環境安裝的攻擊範圍。

Cado研究人員表示,TeamTNT一項新功能,可以掃描受感染的基礎伺服器以獲取任何Amazon Web Services(AWS)憑證。

如果受感染的Docker和Kubernetes環境在AWS基礎架構上運行,TeamTNT則可掃描  〜/ .aws / credentials  和  〜/ .aws / config,並將兩個文件複製並上傳到其命令和控制的伺服器上

竊取並上傳AWS憑證和配置文件的TeamTNT程式碼

這兩個文件都是未加密的,並且包含基礎AWS賬戶和基礎架構的純文本憑證以及配置詳細資料。

Cado研究人員認為,攻擊者尚未使用任何被盜的憑據。研究人員說,他們向TeamTNT C&C伺服器發送了一組canary的憑據,但是在8月17日發布研究結果之前,這些帳戶都沒有被訪問過。

研究人員認為TeamTNT可以通過在功能更強大的AWS EC2集群中安裝加密挖礦惡意軟體或在黑市上出售被盜憑證來提高其利潤。

欲了解更多關於, TeamTNT的相關情資,可致OTX社群 :

https://otx.alienvault.com/pulse/5f3aa1e047a40112d69f524d

參考來源: https://www.cadosecurity.com/2020/08/17/teamtnt-the-first-crypto-mining-worm-to-steal-aws-credentials/

美國國家安全局 (NSA) 和聯邦調查局 (FBI) 的聯合資安警報,警告說俄羅斯間諜正在使用新型惡意軟體入侵 Linux 作業系統…

美國國家安全局 (NSA) 和聯邦調查局 (FBI) 在 8月 13日發布的聯合資安警報,警告說俄羅斯間諜正在使用新型惡意軟體入侵 Linux 作業系統。

美國國家安全局和聯邦調查局表示,這是一個初次公佈的惡意軟體“ Drovorub”,據了解該惡意軟體是由與俄羅斯軍隊相關的國家贊助駭客組織 APT 28,又稱為 Fancy Bear 所部署的,而 APT 28 隸屬於俄羅斯總參謀部情報總局 (GRU) 第 85 主要主要特勤中心。

在一份長達 45頁的詳細報告中,這些機構指責駭客將 Drovorub 作為俄羅斯間諜活動的一部分,並提供了檢測和減輕感染的建議。

Drovorub 可讓國家贊助的駭客開展各種活動,例如竊取文件、建立後門訪問權限、遠端控制目標電腦。Drovorub 惡意軟體實作了一種先進的偵測躲避技術,它利用進階的 “rootkit” 功能躲避偵測。

惡意軟體的客戶端可以直接與威脅參與者的 C2 基礎結構通信,具有文件上傳/下載功能,具有 “root” 特權的用戶可以執行任意命令,並且可以將網路流量轉發到網路上的其他電腦。

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

根據該報告,rootkit 非常成功的隱藏在受感染的電腦上,並且可以在重新啟動後保留下來,除非在 UEFI 啟動時選用 “Full boot” 或 “Thorough boot” 模式下以安全啟動。

報告描述了每個 Drovorub 元件的技術細節,這些元件透過 WebSockets 以 JSON 格式相互通信,並使用 RSA 算法對往返於伺服器的流量進行加密。

美國國家安全局和聯邦調查局建議組織將任何 Linux 系統更新為核心版本 3.7 或更高的版本,以避免受 Drovorub 惡意軟體的 rootkit 感染。

該聯合警報建議運行記憶體取證,探測文件隱藏行為,同時包含 snort 規則和 Yara 規則以檢測威脅。

專家還建議,網路邊界的封包數據檢測可用於發現網路上的 Drovorub 惡意軟體,而基於主機的威脅檢測方法包括掃瞄、資安產品、即時回應、記憶體分析和媒體(磁碟映像)分析,專家還建議系統擁有者使用有效且已簽章的模組進行登入。

欲了解更多關於 Drovorub 惡意軟體的相關情資,可至 OTX 社群:

https://otx.alienvault.com/pulse/5f3581cc4138be1d82c183b8

Source:https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF

竣盟科技官網:

https://www.billows.com.tw/

傳出相機大廠 Canon 佳能遭勒索軟體攻擊! Maze 的背後組織稱已盜出10TB數據!

傳出相機大廠 Canon 佳能受勒索軟體攻擊! Maze 的背後組織稱已盜出 10TB 數據!

重點整理:

*攻擊疑似在上週末開始

*Canon 佳能 IT 部門向全公司發送了關於斷網的警報

*BleepingComputer 報導, 勒索信是由 Maze 勒索軟體發送的。

*Maze 勒索軟體的背後組織說他們偷了 Canon 10TB 的數據。

從 7月 30日,佳能的 http://image.canon 照片和影像雲端儲存服務中斷了六天

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

在 8月 4日,該服務再次啟用,並包含狀態更新,該狀態更新可疑地表明“沒有洩漏圖像資料”

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

BleepingComputer 報導在今天有消息人士分享了佳能 IT 部門內部發送的警報,警告整個公司範圍內的故障會影響電子郵件,Microsoft Teams,應用程式和其他系統。

這些中斷也影響了佳能美國網站,引發內部伺服器錯誤或找不到到頁面的錯誤

一張含有 螢幕擷取畫面 的圖片

自動產生的描述
一張含有 螢幕擷取畫面 的圖片

自動產生的描述

另外,從勒索信識別出由是 Maze 勒索軟體發送的。

BleepingComputer 與 Maze 勒索軟體的背後組織聯繫後,只聲稱從 Canon 竊取了 10TB 的數據,但他們不會透露此次贖金金額或加密設備的數量等等,另外 Maze 也不承認http://image.canon 的中斷是由他們造成的。

 Maze 一反常態地沒有高調在其揭秘網站公佈 Canon 的相關資料, 讓人懷疑背後的用意。

有關Maze勒索軟體的最新 Mitre ATT&CK攻擊手法與情資, 盡在竣盟科技代理的AlienVault OTX情資平台上:

https://otx.alienvault.com/pulse/5f1b25b617bca397b446385c

更多的內容, 請參考BleepingComputer: https://www.bleepingcomputer.com/news/security/canon-hit-by-maze-ransomware-attack-10tb-data-allegedly-stolen/

外媒爆料, 證實 Garmin 取得解密工具! 內文附有 WastedLocker 技術分析的情資!

外媒爆料並加上影片, 證實 Garmin 取得解密工具!  知名資安外媒 BleepingComputer 研究人員證實,Garmin 已收到解密金鑰,以恢復被 WastedLocker 勒索軟體加密的文件。

7月24日,智慧手錶和可穿戴設備製造商 Garmin 因內部網路和某些生產系統被勒索軟體攻擊而關閉了部分服務,此中斷事件也影響了公司的 Call Center。

Garmin 客戶使用的大多數服務都依賴 Garmin Connect 服務,將跑步和騎行等相關數據同步到伺服器上。

即使該公司沒有提供停機的細節,也有幾名員工在社交媒體上分享了關於勒索的軟體攻擊細節。一些員工後來告訴 BleepingComputer,這是受一種新型勒索軟體 WastedLocker 的攻擊所造成,並被要求以贖金 1000萬美元以獲得解密金鑰。

7月28日, 該公司發公告坦承遭到網路攻擊後,並且已恢復了服務的運行。

現在 BleepingComputer 確認參與攻擊的惡意軟體家族是 WastedLocker 勒索軟體,它訪問了 Garmin IT 部門並建立了可執行文件來加密工作站。也這意味著該公司據稱已向勒索軟體運營商付款,以獲取文件的解密器。

“要獲得有效的解密密鑰,Garmin 已向攻擊者支付了贖金。但不知道要付了多少錢“,如前所述,一名員工告訴 BleepingComputer,最初的贖金要求為1000萬美元。復原軟體包括各種軟體安裝程式、解密金鑰、WastedLocker 解密程式以及用於運行所有軟體包的 Script。” 如下圖

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

執行時,復原包將對電腦解密並為電腦準備安全軟體

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

如上圖: 嵌入式腳本清楚地表明該程式包是由 Garmin IT 部門的 APAC(亞太地區)部門建立的,Garmin 的 Script 包含時間戳記’07 / 25/2020’,這說明贖金是在 7月 24日或 7月 25日支付的。

透過使用 Garmin 攻擊中的 WastedLocker 範例,BleepingComputer 也對虛擬機進行了加密測試,以了解密程序是否真的可以將文件復原。如下影片

但由於您永遠不知道攻擊者在入侵期間進行了哪些竄改, 在遭受勒索軟體攻擊後, 公司都應遵循使用乾淨的安裝程式重新安裝作業系統。根據影片 Garmin 似乎並沒有遵循此準則,而只是解密工作站並安裝安全軟體。

由於WastedLocker背後的犯罪分子 Evil Corp受到美國政府制裁,這對於 Garmin 來說可能會變得非常棘手。

WastedLocker 技術分析的情資:

https://otx.alienvault.com/pulse/5f2456d64abc49a9d4520dfe

Source: BleepingComputer https://www.bleepingcomputer.com/news/security/confirmed-garmin-received-decryptor-for-wastedlocker-ransomware/amp/

*****竣盟科技快報歡迎轉載,但請註明出處。

繼泰國電力公司Provincial Electricity Authority遭Maze勒索軟體毒手後, 又一泰國公司淪陷!正是泰象啤酒Chang Beer/เบียร์ช้าง製造商-泰國首富蘇旭明旗下的泰國釀酒公司Thai Beverage Public Company

一張含有 瓶, 冰箱, 食物, 許多 的圖片

自動產生的描述

遊泰國必喝的泰國NO.1的泰象啤酒Chang Beer的製造商–泰國釀酒公司Thai Bev, 是泰國最大的釀酒商,同時也是東南亞最大的釀酒商之一,於7月24日被列入Maze勒索軟體的受害者! Maze勒索軟體團隊在”Maze News”的揭秘網站上發布了該起消息。

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

泰國釀酒公司ThaiBev似乎沒有拒絕Maze提出的贖金要求,因為Maze沒有公開攻擊期間從ThaiBev盜來的數據。根據竣盟科技報導的Maze 5條新規則

, 第一條”從現在開始攻擊和發佈資料會在3天內完成, 如果受害公司在3天內不溝通, 後果自負(金錢和名譽的損失)”, 直到目前,仍尚沒有看到Maze揭秘網站上流出ThaiBev的任何資料, 可能雙方已達成共識

另外, Thai Beverage Public Company總部設在首都曼谷,註冊資本為290億泰銖(12.9億澳元),實繳資本為251.1億泰銖,由相同數量的股票發行,每股價格為1泰銖。

ThaiBev在新加坡,柬埔寨,馬來西亞,中國和泰國設有飲料集團。其釀酒廠分布於泰國、蘇格蘭、愛爾蘭、中國大陸與法國等地,在越南和東帝汶也開設了子公司。

ThaiBev是第二間受Maze勒索軟體攻擊的泰國公司,在這之前泰國省電力局於6月20日遭到Maze攻擊。

維基百科說,泰國電力管理局擁有三座火力發電廠,六座聯合循環發電廠,二十四個水力發電廠,八個可再生能源發電廠和四個柴油發電廠。除了曼谷地區由大都會電力局Metropolitan Electricity Authority供電,泰國其他地區(74個省)由Provincial Electricity Authority(PEA)供電。

另外,據了解由於PEA沒有跟Maze勒索軟體背後的駭客達成圓滿談判, Maze已於暗網上釋出他們從PEA竊取得來的84GB的數據。

有關Maze勒索軟體的最新 Mitre ATT&CK攻擊手法與情資, 盡在竣盟科技代理的AlienVault OTX情資平台上:

https://otx.alienvault.com/pulse/5f1b25b617bca397b446385c

*****竣盟科技快報歡迎轉載,但請註明出處。
7月31日更新: Maze發布了ThaiBev約710Mb的數據

在勒索軟體攻擊之後,Garmin 重新回歸網路世界, 他們有付贖金嗎?

Garmin 開始恢復 Garmin Connect 等功能和服務,並稱客戶數據未受影響!

Garmin 生產線及網路服務,在上周遭到勒索軟體嚴重的攻擊後,現已開始恢復。

Garmin 發布了期待已久的新聞稿,也首次承認它們是某些加密系統的網路攻擊受害者,在其新聞稿中,Garmin 避免用到勒索軟體一詞:

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

Garmin 在新聞稿中表示,受影響的系統正在恢復,服務重新上線,更表明沒有跡象表示任何客戶數據(包括來自 Garmin Pay 的付款資訊)被訪問,遺失或被盜。除了訪問線上服務的功能之外,Garmin 的其他產品均未受到影響。

為什麼 Garmin 直到現在才說它是受到網路攻擊? 為什麼對使用“勒索軟體”一詞保持沉默? Garmin 對於使用“勒索軟體”一詞非常警惕是有充分理由的,這可能是因為任何科技記者都可能會問的第一個問題是:“那麼您是否支付了贖金? ”這個問題,目前 Garmin 似乎還沒有回答。根據外媒 BleepingComputer 報導, 入侵 Garmin 駭客團體客要求高達 1000萬美元的贖金來解密並幫助恢復資料。

Garmin 是向網路攻擊背後的犯罪分子 Evil Corp 付贖金? 還是通過良好的傳統安全備份來恢復資料? 目前不得而知, Garmin 也沒有透露更多相關的情況。Garmin 似乎試圖向客戶保證,“沒有跡象表明”他們的個人數據已被訪問。

如果這是真的,那也是個好消息,因為 Garmin 的健身追踪器和其他技術,可能包含很多情報機構想要的大量資訊。

值得一提的是,被認為使用勒索軟體 WastedLocker 對 Garmin 進行網路攻擊的俄羅斯駭客團體 Evil Corp,該團體去年12月受到美國財政部的制裁。制裁意味著“禁止美國人與網路罪犯進行交易”另外,如果透過第三方付款,則也可能會受到美國財政部的制裁,該警告說:“外國人可能因與這些特定人士進行一筆或多筆交易而受到二級制裁。” 然而在數天之內可以從備份還原所有系統,而不是花費數個月的時間,不禁令人心生好奇,他們是如何做到的?

WastedLocker 最新的ATT&CK 的攻擊手法和情資在竣盟科技代理的 AlienVault OTX 平台上:

https://otx.alienvault.com/pulse/5f1aef99bb9f93a00956bf79

*****竣盟科技快報歡迎轉載,但請註明出處

證實 WastedLocker 勒索軟體入侵 Garmin 導致系統中斷, Garmin 的後續處置….??

過了一個週末, 你的 Garmin 裝置可使用了嗎? 就目前網路的反映, 絕大部分的用戶仍然無法連線其Garmin裝置, 雖然 Garmin 未公布這次大規模暫停服務的原因, 但其官方網站釋出更新, 表示系統仍在維護中, 致使部分服務無法正常運作。

針對竣盟科技對Garmin疑受勒索軟體攻擊的報導, 現在有進一步的消息, 上週四的早上, Garmin 員工到達公司打開電腦後得知受駭客團體攻擊, 從截圖中被加密的文件名稱可看到附有 .garminwasted 的副檔名, 證明 Garmin 遭 WastedLocker 勒索軟體加密, 如下圖:

根據 Bleeping Computer 報導, 駭客發的贖金信同樣附有 Garmin 字樣, 如下圖

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

Garmin 受到勒索軟體攻擊,使得系統已中斷服務。同時反映在股票價格波動, 如下圖:

消息來源之一告訴 BleepingComputer,攻擊者要求支付 1000萬美元的贖金, 而 Garmin 是否會支付贖金?目前相信的是他們不會付, 除了不助長駭客集團的歪風外, 更有理由相信是因為WastedLocker 背後駭客團體 Evil Corp 的關係, 根據美國財政部於2019年12月對Evil Corp發佈的制裁,該部門禁止其國民與 Evil Corp 進行任何交易,這可能使得 Garmin 陷於較為棘手的狀況,或者說,Garmin 面臨的現況,也只有自行重建系統這一條路可走了。

WastedLocker 最新的ATT&CK 的攻擊手法和情資在竣盟科技代理的 AlienVault OTX 平台上:

https://otx.alienvault.com/pulse/5f1aef99bb9f93a00956bf79

*****竣盟科技快報歡迎轉載,但請註明出處

竣盟科技快報:台灣 Garmin 疑因勒索軟體攻擊而導致生產線停工兩天,但原來世界各地的 Garmin 網站同樣傳出「系統正在維護」😱😱😱 是 WastedLocker 的勒索軟體又一力作嗎?!

我們耳熟能詳的台灣之光 GPS 導航及穿戴式裝置巨頭 Garmin (台灣國際航電) 傳出受勒索軟體攻擊而暫停兩天的生產線, 相信讓你我震驚不已, 但更震撼的是, 就小編觀察目前世界各地的Garmin 官方 twitter 也一一傳來惡耗, 發表了官方維護公告, 其中包括 Garmin 印度:

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

Garmin日本:

Garmin 美國官網及手機 app 呈中斷狀態, 更甚的是連他們的呼叫中心 call centers 也無法正常通話, 收發 mail 和線上回覆等功能。

據 iThome 報導, 目前未獲得 Garmin 公關部證實為勒索軟體的攻擊, 但小編認為一連串的世界各地的公告更能證明 Garmin 的伺服器已被加密而無法正常運作, 可以合理的猜測, 駭客已經取得部分伺服器的最高權限,並植入了惡意軟體,進行散佈的動作了。

另外根據外媒 ZDNet 報導, Garmin 疑受 WastedLocker 勒索軟體入侵, 員工紛紛在社交媒體爆料, 截至目前, 台灣的 Garmin 官網把於七月二十三日的”系統維護中”公告移除, 目前最新的公告為七月一日的”停止維護機種公告” , 台灣的官網目前運作正常。

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

竣盟科技建議您參考, Wastedlocker 的相關 ATT&CK 的攻擊手法和情資:

https://otx.alienvault.com/pulse/5ef67e89cde1d0c1b00dd02c

但勒索軟體繁多, 手法層出不窮! 對於這次世界各地 Garmin 系統維護中的公告, 在驚訝之餘是否能帶出正視資安防護的重要性, 更是我們所期盼的。

*****竣盟科技快報歡迎轉載,但請註明出處