2023 年3月16日,三個美國政府機構,聯邦調查局 (FBI)、網路安全暨基礎安全局(CISA) 以及跨州資訊共享分析中心 (Multi-State Information Sharing and Analysis Center,MS-ISAC) 聯手發布了針對勒索軟體LockBit 3.0的資安通告(Cybersecurity Advisory),旨在為網路防禦者提供他們所需的情報,當中包括LockBit3.0 的各種攻擊策略、技術及程序(Tactics, Techniques, and Procedures, TTPs)及其入侵指標(Indicators of Compromise,IOC)。
“由於 FIPS 錯誤,系統進入錯誤模式:韌體完整性自檢失敗”(System enters error-mode due to FIPS error: Firmware Integrity self-test failed)完整性測試的失敗會阻止設備重新啟動,以保護網路的完整性。研究人員發現攻擊者修改了韌體映像中的/sbin/init 檔案夾,他們注意到存在一個新檔案 /bin/fgfm,修改旨在為攻擊者提供持久存取。
然而,IceFire 攻擊始於 2 月中旬。Delamotte表示,與 Windows 相比Linux 更難部署勒索軟體——尤其是大規模部署。許多 Linux 系統都是伺服器:典型的感染媒介,如網路釣魚或路過式下載(Drive by download),效果較差。為了克服這個問題,駭客轉向利用應用程式漏洞,正如 IceFire 的背後駭客員通過 IBM Aspera 漏洞部署有效載荷所展示的那樣。一旦駭客獲得存取權限,IceFire 勒索存取就會針對用戶和共享目錄進行加密。由於這些是檔案系統未受保護的部分,Delamotte 指出它們不需要提升權限即可寫入或修改。Delamotte 進一步說,檔案共享接收持續的連接——尤其是來自組織互聯網之外的系統——這使它們成為勒索軟體攻擊者非常吸引的目標。IceFire 勒索軟體在之前只專注於攻擊 Windows 系統之後擴大了 Linux 目標,這是一個戰略轉變,與近年來也開始攻擊 Linux 系統的其他勒索軟體組織手法一致。
IceFire勒索軟體的部分入侵指標(Indicator of compromise -IOCs):
根據多家資安外媒報導,3月6日,一個名為Kernelware的駭客在暗網論壇上聲稱成功在2月中旬入侵宏碁,並已竊盜該電腦巨擘共2869個檔案,即約160GB的數據。Kernelware是該論壇的知名成員,他沒有列出出售這批資料的售價,然而要求買家私訊了解並以門羅幣進行交易。報導稱Acer Corporate Communications發出聲明,證實駭客入侵了其託管維修技術人員使用的私人檔案的伺服器,然而該公司表示,到目前為止的調查結果並未表明此資安事件已影響客戶數據。(We have recently detected an incident of unauthorized access to one of our document servers for repair technicians. While our investigation is ongoing, there is currently no indication that any consumer data was stored on that server.)
