竣盟科技 - Billows 技術/情資訊息分享

注意了~繼北市某製造業遭LockBit2.0攻擊，今見台灣上市工程公司也遭殃!

Posted on 2021 年 10 月 6 日2021 年 10 月 6 日 by blogadmin

號稱史上加密速度最快的勒索軟體LockBit2.0又來襲，新北市某上市工程公司遭其毒手， 10月6日竣盟科技在LockBit2.0的揭秘網站上，發現某工程公司的資料，據了解，LockBit2.0在10月3日發布有關該公司的受害者頁面，並聲稱會在10月9日公開盜來的數據，但目前仍沒看到任何疑似外洩的檔案作為攻擊的證據，也不知道LockBit2.0獲取了多少數據和要求的勒索贖金額，另外，目前也尚不清楚LockBit2.0是如何入侵該公司以及安全漏洞是何時發生，該公司在近期發布之重大訊息中並也沒有包含任何資安事件。

與其他操作勒索軟體組織一樣，LockBit 2.0 實施了把勒索軟體當成一種服務販售的運作方式，也就是勒索軟體即服務(Ransomware-as-a-Service；RaaS)，同時也會招募會員(Affiliate)並維護會員的網路。 LockBit勒索軟體自2019年9月始一直活躍，直到2021 年 6 月宣布推出LockBit 2.0 RaaS計劃。LockBit對外表示，會員只需要對核心伺服器建立存取，其餘的工作全由LockBit 2.0一手包辦。

另外，根據外媒的報導，LockBit2.0最近的受害者名單包括以色列航空與國防公司 EMIT Aviation Consulting Ltd、 Riviana、Wormington & Bollinger、Anaasia Group、Vlastuin Group、SCIS Air Security、Peabody Properties、DATA SPEED SRL、Island Independent Buying Group、Day Lewis、Buffington Law Firm 和全球其他數十家公司，可見LockBit2.0發動攻擊的趨勢沒有下滑，仍異常的活躍，

8月初IT顧問公司Accenture和8月底泰國的曼谷航空也成為LockBit2.0的受害者，澳洲網路安全中心 (ACSC) 在今年8 月警告稱，從 7月開始它們觀察到LockBit2.0在當地的製造、零售、營建等產業發起了一連串的入侵活動，攻擊數量持續上升。9月初，發現台灣某製造業大廠中了LockBit2.0，今在一個月內又發現我國企業遭同一勒索軟體入侵，可見LockBit2.0值得我們高度關注。

竣盟科技建議針對勒索軟體的應對措施:

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階誘捕系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

LockBit2.0 Tor Domains:

hxxp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion

hxxp://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did[.]onion

hxxp://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid[.]onion

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a

日本跨國電子企業JVC KENWOOD遭Conti入侵， 1.5TB 數據被竊，並遭勒索700 萬美元

Posted on 2021 年 10 月 1 日2021 年 10 月 1 日 by blogadmin

9 月 29 日，日本JVC KENWOOD透露其歐洲公司受到網路攻擊，伺服器經未授權存取。據新聞稿，JVC KENWOOD在9月22日發現集團在歐洲的一些銷售公司出現無法收發電子郵件的問題，經調查，發現伺服器遭被外部存取，影響了JVC KENWOOD集團旗下荷蘭、比利時和英國的公司。據信，員工和業務合作夥伴的電話號碼和電子郵件地址等個人資料恐遭外洩。JVCKenwood 是一家總部位於日本的跨國電子公司，擁有 16,956 名員工，2021 年的收入為 24.5 億美元。該公司以其 JVC、Kenwood 和 Victor 品牌而聞名，這些品牌生產汽車和家庭音頻設備、醫療保健和無線電設備等。

今天，據外媒BleepingComputer的報導，一位消息人士分享了這次針對 JVC KENWOOD攻擊中來自CONTI 勒索軟體的勒索信。另外在一次談判中，操作Conti的駭客告訴JVC KENWOOD，他們已竊取了 1.5 TB 的檔案，並要求 700 萬美元贖金，以換取不公佈數據並提供解密工具。同時，攻擊者分享了一份 JVCKenwood 員工的掃描護照PDF檔案作為證明，但自提供證明以來，JVCKenwood 代表沒有進一步聯繫，表明該公司可能不會支付贖金。

據日本媒體Security Next報導，JVC KENWOOD對於受影響的系統，啟動了一個新的臨時系統並恢復了操作。

據信Conti勒索軟體是由 TrickBot的駭客組織運營，通常在網路被TrickBot、BazarBackdoor 和 Anchor 木馬入侵後安裝。過去曾遭Conti入侵的公司有研華、愛爾蘭衛生健康署、蘇格蘭環境保護局、新西蘭五間醫院等。八月初，Conti的會員(Affiliate)因分到的贖金太少，心生不滿的在地下駭客論壇XSS上載了Conti勒索軟體培訓會員及用於攻擊的手冊，使執法部門和研究人員能深入了解他們的策略，但也沒有影響Conti的攻擊。在上週，美國FBI、CISA 和 NSA 共同發佈針對Conti勒索軟體的攻擊持續激增的警報。

研究人員發現，俄羅斯APT駭客組織Turla 在攻擊目標系統上部署新型的second-chance後門程式

Posted on 2021 年 9 月 29 日2021 年 9 月 29 日 by blogadmin

研究人員發現俄羅斯國家級駭客 Turla是一系列新的入侵活動的幕後黑手，該攻擊活動使用以前未被記錄過的新型後門程式來入侵美國、德國和阿富汗的系統。根據Cisco Talos的研究，俄羅斯的APT 駭客組織Turla (又名Snake、Venomous Bear、Uroburos和WhiteBear) Turla至少自2004年以來就一直活躍。多年來，該組織以美國、烏克蘭或阿拉伯國家為目標，開發並維護了一套龐大的攻擊工具，如Crutch或Kazuar。

這一系列新的入侵活動利用一個隱蔽的second-chance後門” TinyTurla”來維持被感染的設備的存取權限。在這裡”second-chance “意指可作為第二次入侵的使用，據了解Tiny Turla後門很難被清除，即使被感染的機器清除了主要的惡意軟體，攻擊者也能繼續保持對系統的存取，同時還可以用作第二階段的dropper，用其他惡意軟體感染系統。此外，TinyTurla 可以上傳和執行檔案或將敏感數據從受感染的機器傳輸到遠端伺服器，同時每五秒請求一次C2伺服器以獲取最新的命令。

TinyTurla的入侵活動涉及使用.BAT 檔案來部署惡意軟體，但確切的入侵途徑尚不清楚，另外研究人員發現，這個新穎的後門——偽裝成一個無害但虛假的微軟 Windows 時間服務（“ w32time.dll ”），能夠上傳、執行或竊取檔案，被編排以註冊自身與攻擊者控制的伺服器建立通信，以接收進一步的指令，範圍從下載和執行任意進程到將命令的結果上傳回伺服器。

由於TinyTurla的功能有限且編碼高效，反惡意軟體工具很難檢測到它是惡意軟體。這也就解釋了為什麼儘管攻擊者從2020年就開始部署它，但是一直沒有被發現。

有關TinyTurla的入侵指標Indicators of compromise (IOCs):

SHA256:

030cbd1a51f8583ccfc3fa38a28a5550dc1c84c05d6c0f5eb887d13dedf1da01

SHA1: 02c37ccdfccfe03560a4bf069f46e8ae3a5d2348

MD5:

028878c4b6ab475ed0be97eca6f92af9

微軟警告說SolarWinds 事件的攻擊者Nobelium，利用一個名為“FoggyWeb” 的後門針對性攻擊 AD FS伺服器

Posted on 2021 年 9 月 28 日 by blogadmin

惡意後門可竊取Windows domains的敏感數據

微軟的報告稱， Nobelium 正在使用一種新開發的後門，該後門能夠從受感染的Active Directory 同盟服務（Active Directory Federated Services，AD FS）伺服器中竊取敏感數據。

Nobelium駭客組織是去年針對 SolarWinds 的 Orion 軟體的大規模供應鏈攻擊的幕後黑手。從那以後，微軟持續追踪Nobelium攻擊的活動，其中包括在 5 月份冒充美國國際開發署 (US Agency for International Development ; USAID) 的電子郵件活動。最近，微軟威脅情報中心 (MSTIC) 表示，Nobelium組織使用名為 FoggyWeb 的新型惡意軟體，用於盜竊憑證來獲得對 AD FS 伺服器的管理員級別的存取權限。微軟表示早於2021 年 4 月，已發現FoggyWeb後門的蹤跡，並已通知了觀察到成為目標或受到威脅的客戶。

FoggyWeb 是一種針對性強的後門，允許濫用SAML token，並為參與者定義的 URI 配置 HTTP 偵聽器，以攔截發送到與自定義 URI 模式匹配的AD FS 伺服器的 GET/POST 請求，從而從受感染的 AD FS伺服器中遠端竊取敏感數據。它還可以從C2伺服器接收其他惡意命令，並在受害者的伺服器上執行它們。微軟說，Nobelium利用FoggyWeb後門遠端滲透受感染的 AD FS 伺服器中的配置數據庫、解密的Token-Signing 憑證和Token-Decryption憑證，以及下載和執行其他組件。

微軟提供有關FoggyWeb的入侵指標Indicators of compromise (IOCs):

美國CISA、FBI 和 NSA聯合警告，涉及Conti勒索軟體的攻擊持續升溫

Posted on 2021 年 9 月 24 日2021 年 9 月 24 日 by blogadmin

儘管在幾週前Conti勒索軟體遭會員爆料並公開其攻擊和培訓的技術手冊，但 Conti 的攻擊並沒有放緩，在9月22 日，美國網路安全暨基礎安全局(CISA)、聯邦調查局(FBI)和國家安全局(NSA)共同發佈針對Conti勒索軟體的攻擊持續激增的警報，這三個美國聯邦機構稱，已觀察到Conti 勒索軟體對美國和其他國家的組織發動了 400 多次的攻擊，敦促企業 IT管理員審查其組織的網路安全狀況，並立即實施聯合警告中概述的行動，以抵禦 Conti 勒索軟體。

為了保護企業系統免受 Conti 勒索軟體的侵害，CISA、FBI 和NSA建議實施公告中描述的緩解措施，其中包括要求多因素身份驗證 (MFA)、實施網路分段以及保持操作系統和軟體是最新的版本。

根據這三個美國聯邦機構，操作Conti 的攻擊者常利用合法的遠端監控和管理軟體以及遠端桌面軟體作為後門來維持受害者網路的持久性。攻擊者使用受害者網路上已有的工具——並根據需要再添加額外的工具，如 Windows Sysinternals 和 Mimikatz——來獲取用戶的hashes和明文憑證，這使攻擊者能夠提升網域內的權限並執行其他後滲透攻擊和橫向移動。在一些被觀察到的案例，攻擊者還使用 TrickBot 惡意軟體來執行後滲透攻擊任務。

Conti 勒索軟體一個勒索軟體即服務 (RaaS)，於 2019 年 12 月底首次出現，並通過 TrickBot 感染進行傳播，據信Conti由一個名為Wizard Spider的俄羅斯網路犯罪組織控制。自 2020 年 8 月以來，Conti在暗網啓動了其揭秘網站Conti News ，以揚言發佈盜取得來的機敏數據來威脅受害者，一般來說，在一個典型的Conti 勒索軟體攻擊中，操作Conti的駭客會竊取檔案、加密伺服器和工作站，並要求支付贖金。

另外，Conti 與臭名昭著的 Ryuk 勒索軟體共享其大部分程式碼，在 Ryuk 的攻擊活動於 2020 年 7 月開始放緩後，與TrickBot相關的駭客改用部署Conti勒索軟體進行攻擊，因此Conti被視為是Ryuk的接班人。

以下為聯合警告中提供的緩解措施：

*使用多重身份驗證。

*實施網路分段和過濾流量。

*掃描漏洞並保持軟體更新。

*刪除不必要的應用程式並控管好應用

*實施使用端點和檢測回應工具。

*限制對網路資源的存取，尤其是限制 RDP。

*保護用戶帳戶

*如果受感染，請使用勒索軟體回應清單(Ransomware Response Checklist)

發現Hive勒索軟體首度入侵台灣，某知名鋼鐵公司遭駭

Posted on 2021 年 9 月 22 日2021 年 11 月 9 日 by blogadmin

首見Hive勒索軟體入侵台灣，在Hive的揭秘網站Hive leaks上發現國內某知名上市鋼鐵公司已被Hive列入受害者名單，Hive也同時發佈了其相關資料，目前仍無法確認Hive在這塲攻擊中是加密少量或是全部伺服器，是否已取得價值性及機密性高的檔案等，但據相信該上市公司是在9月4日遭Hive加密，Hive直到9月19日公布鋼鐵企業的資料。

一般來說，勒索軟體組織公佈受害者的資料是用作威脅對方與其談判，然而目前Hive仍未公開對此台灣企業的勒索金額，Hive是一個相對較新的勒索軟體，於今年6月能首次浮出水面，在短短3個月已出現至少30個受害公司，FBI於8月發佈Flash Alert，警告Hive鎖定醫療保健和無法因應勒索軟體攻擊的企業而來，根據FBI警報，Hive勒索軟體使用多種機制來入侵企業網路、加密數據和外洩數據，包括使用帶有惡意附件的釣魚郵件獲取存取權限和利用遠端桌面協議在網路中橫向移動。8月15日，美國西維吉尼亞州及俄亥俄州的連鎖醫療系統Memorial Healthcare System為了恢復八百台伺服器、三千多台個人設備並以防止200,000名患者的資料外洩，Memorial Health System總裁 Scott Cantley在8月18日，承認支付贖金以換取解密金鑰。在9 月初，美國密蘇里洲(Missouri)的Delta Medical Center醫療中心的一台伺服器上的機密患者數據遭Hive竊取並於 9 月 9 日發布患者姓名、社會安全號碼(Social Security Numbers)和醫療資訊等，是值得醫療機構關注的勒索軟體。

另外，在9月19日與台灣某上市鋼鐵業者同樣被Hive公布資料的受害者，還包含一個在美國西雅圖名為FareStart的非營利性組織，該組織主要為弱勢群體提供餐飲業職業培訓;另一個則是位於威斯康辛州的賭場名為Ho-Chunk Gaming，可見Hive在攻擊產業的趨勢開始有所不同。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Hive Tor Domain:

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Winlo.exe

MD5 b5045d802394f4560280a7404af69263

SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

File Path Observed C:\Windows\SysWOW64\winlo.exe

Description Drops 7zG.exe

7zG.exe

MD5 04FB3AE7F05C8BC333125972BA907398

Description This is a legitimate 7zip, version 19.0.0

Drops Winlo_dump_64_SCY.exe

Winlo_dump_64_SCY.exe

MD5 BEE9BA70F36FF250B31A6FDF7FA8AFEB

Description Encrypts files with *.key.* extension

Drops HOW_TO_DECRYPT.txt

HOW_TO_DECRYPT.txt

Description

Stops and disables Windows Defender

Deletes all Windows Defender definitions

Removes context menu for Windows Defender

Stops the following services and disables them from restart

LanmanWorkstation

SamSs

SDRSVC

SstpSVc

UI0Detect

Vmicvss

Vmss

VSS

Wbengine

Unistoresvc

Attempts to delete Volume Shadow Copies (vssadmin and wmic)

Deletes Windows Event Logs -> System, Security, Application

and powershell

Uses notepad++ to create key file

Changes bootup to ignore errors and not attempt recovery

Drops PowerShell script

中國APT駭客組織Winnti的分支Grayfly來襲！利用”SideWalk” 後門鎖定北美亞洲等地，台灣也榜上有名

Posted on 2021 年 9 月 17 日2021 年 9 月 17 日 by blogadmin

引言: 還記得中油、台塑化、封測廠力成遭惡意程式攻擊事件嗎? 另外在2020總統就職典禮前夕，發生了假冒總統府寄釣魚信件給立委的資安事件。中國APT 駭客組織對台灣的攻擊，從不間斷。尤其耳熟能詳的Winnti Group更是赫赫有名，最近包含ESET和賽門鐵克的研究人員對SideWalk後門發表了研究報告。當中驚見台灣已被鎖定成為攻擊對象。

背景:

2020 年 9 月，美國司法部起訴 5 名中國公民，他們被指控為國家資助的駭客組織Winnti(又名APT41)的成員。他們三人（蔣勵志、錢川和傅強）參與了Winnti 分支小隊Grayfly(又名 GREF 和 Wicked Panda）的工具開發和攻擊策略。據了解，攻擊者擅長透過Exchange、SQL Server、MySQL入侵受害組織。最近發現Grayfly利用一個名為SideWalk的後門集中攻擊多國的電信公司、IT產業、媒體和金融機構等，台灣也是受害者之一。SideWalk後門與該分隊使用的另一個Crosswalk後門(Backdoor.Motnug )有很多相似之處，SideWalk 是一個模組化後門，可以動態載入從其 C&C 伺服器發送的附加模組，使用 Google Docs 作為情報投放點解析器(Drop Dead Resolver)，並使用 Cloudflare Workers作為C2中繼站，它還有處理透過代理伺服器（Proxy）連線的通訊能力。

一旦網路遭到Grayfly入侵，Grayfly會將其自訂的後門安裝到其他系統上，允許他們全面遠端存取網路和代理伺服器連線，從而允許他們存取目標網路中難以到達的部分。Grayfly將裝載定製版本的Mimikatz 憑證刪除工具，該工具使攻擊者能夠從遠端存取系統和代理伺服器連線，使攻擊者能夠存取目標網路的任何部分。除了Trojan木馬自定義裝載機之外，Grayfly 還使用SideWalk後門。

研究人員發現，Grayfly最近的活動利用SideWalk特別著重於攻擊 MySQL 伺服器，有許多警報說明此類 ProxyShell 攻擊的數量不斷增加。另外在針對近 2000 個易受攻擊的 Microsoft Exchange 伺服器至少啟動了 140 個 web shell。

根據研究報告，ESET歸納的受害組織如下:

*澳門、香港、台灣學術界

*台灣的宗教組織

*台灣某電腦及電子產品製造商

*東南亞的政府機構

*韓國的電子商務平台

*加拿大的教育部門

*印度、巴林和美國的媒體公司

*一家位於美國的電腦零售業者

* 喬治亞(格魯吉亞)當地政府

*韓國和新加坡尚未確認的組織

與 CROSSWALK 一樣，在初始化期間，SideWalk 在執行開始時使用循環的ROR4計算 shellcode 的32位hash值。

報告顯示 SideWalk 後門收集類似的產出物(目標數據)： –

*IP 配置

*操作系統版本

*使用者名

*電腦名稱

*檔名

*Current process ID

*Current time

中國對台灣的威脅早已跨入網路攻擊，攻擊對象從科技業、政府機關至油水電等民生基礎設施無所不在，因此近年來台灣的企業及政府部門對資安的意識也不斷提高，然而攻擊事件仍頻頻傳出，那麼該如何防範？根據美國的MITRE ATT&CK框架，旗下的Mitre Engage(Shield) ，企業應反被動為主動，改善作戰計畫，在防守者可防禦範圍之內，進一步控制對手，使用網路欺敵(Deception) 至關重要，透過亦真亦假的欺敵手段，來誤導對手，藉由隱瞞關鍵事實與虛構環境和系統，讓攻擊者無法分辨和評估，或繼續進行行動。縱深防禦不是一站式服務，企業必須具有欺騙能力才能實現主動防禦覆蓋。Mitre Engage強調的是，欺敵可以說是Mitre主動防禦方法的核心。

另外，積極修補系統弱點、佈署資安偵測防禦系統以及存取政策緊縮，仍是應對針對性攻擊的最佳實踐方式，除了減低被攻擊成功的機率，在事故發生時更能及早發現，降低損害與衝擊；而系統與檔案備份則是事故發生後唯一的善後方法

有關SideWalk後門的入侵指標(Indicator of compromise -IOCs):

SHA 256:

b732bba813c06c1c92975b34eda400a84b5cc54a460eeca309dfecbe9b559bd4

b3eb783b017da32e33d19670b39eae0b11de8e983891dd4feb873d6e9333608d

25a7c1f94822dc61211de253ff0a5805a0eb83921126732a0d52b1f1967cf079

SHA 1:

9d1940ed48190277c9d98ddbd7e4ea63ade5ceae

8c877f583dd1e317af4eb9e15c2d202f2f63e0d1

4c8194c94e25d51a062fab3e0a3edcec349fe914

MD 5:

7007877ec8545265722325231b434c79

5251b3f47b1ae8feb79642011b3a925b

Source:

https://www.welivesecurity.com/2021/08/24/sidewalk-may-be-as-dangerous-as-crosswalk/

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/grayfly-china-sidewalk-malware

BlackMatter勒索軟體攻擊了日本的跨國企業 Olympus

Posted on 2021 年 9 月 15 日2021 年 9 月 15 日 by blogadmin

日本Olympus在一份聲明中表示，正在調查上週影響其部分 EMEA（歐洲、中東、非洲）IT系統的網路安全事件，Olympus在全球擁有 31,000 多名員工，是一家跨國公司，專門銷售攝影設備、錄音設備和一系列科學和醫療技術，如超聲波和顯微鏡工具等。

據知情人士透露，Olympus在 9 月 8 日凌晨開始，發現了被感染的電腦上留下來自 BlackMatter 勒索軟體組織的勒索信。信中寫道:“您的網路已加密，目前無法運行，如果您付費，我們將為您提供解密程式。” 勒索信上還包括一個通過 Tor 瀏覽器訪問的網站的網址，根據資安公司Emsisoft的威脅分析師 Brett Callow，勒索信中的網站與 BlackMatter 組織有關，已知的是BlackMatter 使用該瀏覽器與受害者進行通訊。

BlackMatter 是一個相對較新的勒索軟體即服務(Ransomware as a Service; RaaS)組織，於 2021 年 7 月底浮出水面，被認為是 DarkSide 勒索軟體的更名(Rebrand)提供租用基礎設施(包含勒索軟體)的存取權限給其會員。根據研究人員在BlackMatter的一些攻擊後收集到的樣本，隨後得以證實 BlackMatter 勒索軟體的加密程式與 DarkSide 使用的自訂的程式相同。

自BlackMatter出現以來，資安公司Emsisoft 已記錄了 40 多起歸因於 BlackMatter 的勒索軟體攻擊，相信實際的數字可能更多。BlackMatter 勒索軟體組織的操作與其他勒索軟體無異，通常會先從受害公司網路中竊取數據，再對其進行加密，如果受害公司不付贖金或談判破裂，就會威脅在暗網上發佈從受害公司盜來的數據和檔案。但目前在BlackMatter的揭秘網站上仍未看到有關Olympus 的頁面。

有關BlackMatter勒索軟體的入侵指標(Indicator of compromise -IOCs):

IPv4:

51.79.243.236

206.188.197.206

Domain:

paymenthacks.com

SHA 1:

379ebd1eff6f8685f4ff72657626bf6df5383d87

72ed32b0e8692c7caa25d61e1828cdb48c4fe361

10d6d3c957facf06098771bf409b9593eea58c75

MD5:

ba375d0625001102fc1f2ccb6f582d91

a55bc3368a10ca5a92c1c9ecae97ced9

3f9a28e8c057e7ea7ccf15a4db81f362

SHA 256:

6a7b7147fea63d77368c73cef205eb75d16ef209a246b05698358a28fd16e502

e48c87a1bb47f60080320167d73f30ca3e6e9964c04ce294c20a451ec1dff425

2c323453e959257c7aa86dc180bb3aaaa5c5ec06fa4e72b632d9e4b817052009

注意了~REvil正式回歸！研究人員已發現REvil的最新樣本，最新害者只有6天時間與REvil聯繫進行談判

Posted on 2021 年 9 月 10 日2021 年 9 月 12 日 by blogadmin

Key Points:

*Virus Total上已出現REvil的最新惡意樣本

*不僅伺服器重新上線，已出現最新受害者，被勒索60萬美元

*為何消失了兩個月，REvil稱他們只是放假去

9月8日REvil在暗網重新上上線，今天，捷克資安公司Avast的惡意軟體研究總監Mr. Kroustek表示，在9月9日，在免費線上病毒分析服務平臺VirusTotal上，出現了一支的勒索軟體REvil最新的樣本(SHA-256: ab0aa003d7238940cbdf7393677f968c4a252516de7f0699cd4654abd2e7ae83)

此外，Mr. Kroustek也公開了有關REvil最新受室者的勒索信和贖金頁面的截圖，據了解，受害者系統的檔案已被加密成.qt1b68hi6e的副檔名。此次受害者有6天的時間決定是否付60萬美元的贖金，如逾時未付，則贖金會在9月16日漲價一倍，目前沒有看到有關受害在REvil支援的聊天室與其進行對話談判的資訊。

Photo Credit: Mr. Kroustek

此次回歸，REvil的勒索金額比以往低許多而引起熱議，過去REvil以勒索天價而臭名遠播，當中包括：

*日月光集團旗下子Asteelflash Group曾遭勒索2400萬美元

*Acer曾遭勒索5千萬美元

*廣達曾遭勒索5千萬美元

*美國JBS Food承認支付1100 萬美元

*Kaseya被REvil勒索7千萬美元

另外，根據DarkFeed取得REvil與某資安人員的對話，REvil的operator 表示，他們安然無恙，沈寂了2個月只是去休息，現在要重回工作，從9月8日發現REvil的基礎建設重新啟動起，不到兩天已出現新的受害者，相信REvil的回歸值得我們持續的密切關注。

在消失兩個月後，REvil 勒索軟體的伺服器神秘地重新上線

Posted on 2021 年 9 月 8 日2021 年 9 月 8 日 by blogadmin

今日較早時候，REvil勒索軟體操作的暗網伺服器在沈寂近兩個月後突然重新啟動，目前尚不清楚這是否標誌著REvil勒索軟體的回歸或是執法部門正在打開伺服器。REvil在美國 7 月 4日的國慶假期期間針對 Kaseya 伺服器的大規模勒索軟體攻擊，利用 Kaseya VSA 遠端管理軟體中的零時差漏漏洞對大約 60 家託管服務提供商(MSP) 及其 1,500 多家企業客戶進行加密，這一事件引起了白宮官員的高度注意，在Kaseya事件後，操作REvil 勒索軟體的幕後駭客進入了”休眠狀態”，關閉了包括其揭秘網站Happy Blog在內的基礎設施。當時，許多業內人表示REvil已經解散，並準備改頭換面，重新出發，試圖甩掉美國執法調查人員。

現在，根據Emsisoft資安公司的研究員Brett Callow的觀察，REvil的Happy Blog重新在暗網上上線。

據 Brett Callow 稱，REvil今年至少攻擊了 360 家美國組織，帶來了超過 1100 萬美元的收入，當中包括對Acer、JBS Food、廣達電腦等的高調攻擊最熟為人知。

在撰寫本文時，REvil 在Happy Blog列出的受害者與REvil 在7 月 13 日關閉時列出的受害者相同。

此外，REvil 的支付入口網站(Payment portal) ，一個受害者被告知去與REvil談判的網站，也已在同一個暗網網址上恢復。目前，安全研究人員尚未發現新的 REvil 樣本，也尚不清楚 REvil是否也發起了新的攻擊。