竣盟科技 - Billows 技術/情資訊息分享

安盛集團旗下子公司遭Avaddon勒索軟體攻擊，被盜3TB數據，駭客持續發動DDoS，影響集團於香港，泰國，馬來西亞等地的IT運作

Posted on 2021 年 5 月 17 日2021 年 5 月 17 日 by blogadmin

法國保險業巨擘安盛集團（AXA）子公司Asia Assistance周日(16)證實受到勒索軟體攻擊，集團於香港、泰國、馬來西亞及菲律賓的IT營運受到影響，有客戶敏感資料被盜取。

駭客盜取安盛亞洲子公司取了3 TB的數據，據稱其中包括：

身份證

護照複印本

客戶索償記錄

保留協議

拒絕報銷

向客戶付款

合約和報告

所有客戶ID和所有客戶銀行帳戶掃描的檔案

醫院和醫生保留資料（針對欺詐的私人調查）

客戶醫療報告（包括HIV，肝炎，性病和其他疾病報告）。

直到目前，發現安盛的馬來西亞和菲律賓網站仍不能正常運作，但其香港和泰國網站運作正常。

Avaddon勒索軟體背後的駭客於2021年1月首次宣布，他們將發動DDoS攻擊，以摧毀受害者的站點或網路，直到他們主動聯繫並開始就支付贖金進行談判為止。

安盛表示，正調查事件，已通知監管部門及合作夥伴，亦會採取適當措施包括通知受影響客戶。考慮到事件發生的時間，值得注意的是，上週，聯邦調查局（FBI）和澳洲網路安全中心（ACSC）警告說， Avaddon勒索軟體目前正在針對來自美國和世界各地眾多組織進行攻擊。

值得一提的是，大約一周前安盛表示，在法國承保網路保險時將不再理賠勒索軟體的勒索支付。

有關Avaddon的情資，請參考如下:

https://otx.alienvault.com/pulse/60661066000335dac8276e3c

https://otx.alienvault.com/pulse/609975b375143cab4797b20c

Source: https://www.reuters.com/article/us-axa-cyber/axa-division-in-asia-hit-by-ransomware-cyber-attack-idUSKCN2CX0B0

外媒報導美運油公司Colonial Pipeline已向操作DarkSide的駭客支付了約新台幣1.39億元的贖金，以換取解密工具。

Posted on 2021 年 5 月 14 日2021 年 5 月 14 日 by blogadmin

Colonial Pipeline已經重啟了整個管道系統，開始向所有的市場輸送產品

Colonial Pipeline can now report that we have restarted our entire pipeline system and that product delivery has commenced to all markets we serve. https://t.co/kpWNw0UQve pic.twitter.com/9r5hA2CLNn
— Colonial Pipeline (@Colpipe) May 13, 2021

Key Points:

*DarkSide的解密工具還原速度太慢，Colonial Pipeline仍需使用其備份來幫助恢復系統。

*知情人士證實，美輸油管Colonial Pipeline遭駭客發動勒索軟體攻擊後，向駭客支付了贖金支付近500萬美元（約新台幣1.39億元）

*綜合外媒報導，Colonial Pipeline在發現攻擊後不久就付款了，仍未能阻止這次癱瘓美東運輸管線的事件

*路透社報導，Colonial Pipeline的網路保險承保範圍至少為1500萬美元

美國Bloomberg News周四（5/13）報導，美國東岸最大的燃油管線營運業者 Colonial Pipeline 上週遇勒索軟體攻擊的事件，被迫關閉美東最大管線系統，導致東岸近一半的燃料供應中斷，並導致美國東南部的汽油短缺，威脅數百萬人的汽油供應，拜登政府一度為此發布緊急狀態。

外媒消息指，Colonial Pipeline以比特幣支付近500萬美元（台幣約1.39億元）的贖金給DarkSide，但解密工具解密太慢，以至於備份也用於恢復系統。5/13早些時候，美國總統拜登在被問及Colonial Pipeline是否支付了贖金時拒絕發表評論。白宮新聞秘書Jen Pskai在簡報中告訴記者，由於支付了贖金可能會激勵網路犯罪分子發動更多攻擊，因此聯邦政府仍然是不支付贖金的立場。

FBI指DarkSide在東歐或俄羅斯運作，拜登表示，幕後黑手在俄羅斯，但沒有證據顯示俄羅斯政府參與此次駭攻。拜登指出，事件反映美國須加強基礎建設安全性，並於周三(5/12)簽署行政命令，加強聯邦政府及私人機構的網路保安。

另外，德國化學品分銷龍頭布朗德（Brenntag）在5月初也遭DarkSide加密，偷走了150Gb數據，後證實在5月11日已支付440萬美元的贖金。

DarkSide是一種勒索軟體即服務（Ransomware-as-a-Service, RaaS）的運作方式，勒索軟體開發人員與負責獲取網路存取權和加密設備的第三方會員或駭客合作。勒索成功之後，DarkSide核心團隊將獲得20-30％的贖金，其餘的將歸進行攻擊的關聯會員所有。

有關DarkSide的情資，請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

Source:

https://www.reuters.com/business/energy/colonial-pipeline-has-cyber-insurance-policy-sources-2021-05-13/

https://www.bleepingcomputer.com/news/security/colonial-pipeline-restores-operations-5-million-ransom-demanded/

https://edition.cnn.com/2021/05/12/politics/colonial-pipeline-ransomware-payment/index.html

美油管Colonial Pipeline遇駭，造成燃料短缺引高度關注，拜登今簽署行政命令以增強美國網路安全的防禦能力

Posted on 2021 年 5 月 13 日2021 年 5 月 14 日 by blogadmin

美國總統拜登今天簽署網路安全行政命令，旨在現代化美國抵禦網路攻擊的防範，建立標準化的事件回應手冊，並加強服務提供商與執法部門之間的溝通，該行政命令是繼今年針對美國眾多的網路攻擊(如去年12月開始的 SolarWinds供應鏈攻擊，Microsoft Exchange伺服器漏洞以及最近針對美國最大的燃料管道Colonial Pipeline的攻擊等)之後下達的。

拜登周三命令美國機構和為其提供服務的軟體承包商加強對網路攻擊的防禦措施，並讓他們更及時地獲得執法部門進行調查所必需的資訊。行政命令為美國機構和向政府供貨的軟體承包商制定了基準網絡安全標準，包括要求使用多重認證和加密，並要求聯邦資訊技術供應商披露關於駭客的某些數據。

該命令還設立了一個網路安全審查委員會，由政府和私人企業的網路安全專家共同領導。該委員會將被授權調查重大網路入侵事件併發布安全建議。官員們說，該委員會大致仿照美國全國運輸安全委員會(National Transportation Safety Board)的運作模式，後者負責調查飛機失事和其他交通事故。

行政命令指示政府採取以下行動：

*要求IT和OT服務提供商（包括雲託管提供商）共享有關他們已意識到的網路安全威脅和入侵，並消除阻礙共享此類資訊的合約問題。

*現代化聯邦政府的IT服務，包括向零信任(Zero Trust)架構邁進，要求多重要素驗證，對靜態數據和傳輸中的數據進行加密，並針對使用雲端服務制定嚴格的安全準則。

*通過制定準則，工具和最佳實踐來審核和確保關鍵軟體不會在供應鏈攻擊中受到惡意參與者的篡改，從而提高供應鏈的安全性。作為該計劃的一部分，聯邦政府將建立一個“能源之星”類型的程式，以表明軟體是安全開發的。

*建立一個“網路安全審查委員會”，其中包括聯邦和私人企業的成員，他們將在重大網路事件後召集會議，以評估攻擊，提供建議並與執法部門共享相關的機密資訊。

*在所有政府機構中創建標準化的playbook，以應對入侵和網路攻擊。

*通過部署集中式端點檢測和回應（EDR）解決方案以及政府內部資訊共享，改善對政府網路上的安全漏洞和入侵行為的檢測和補救。

值得一提的是，拜登針對網路安全的行政命令是在Colonial Pipeline宣布重啓管道運作的一小時後簽署的。

關於改善美國網路安全的行政命令:

https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

美國宣布進入緊急狀態後，使用DarkSide勒索軟體的駭客稱將會對攻擊的對象審查並澄清他們目的只為錢，無意造成社會不安

Posted on 2021 年 5 月 12 日2021 年 5 月 12 日 by blogadmin

操作勒索軟體 DarkSide 的駭客在暗網聲明中表示，該組織並不參與地緣政治，目的只是為了錢，後續將引入審核機制，以避免未來（使用DarkSide勒索軟體的）合作夥伴進行加密（勒索）時造成社會後果。

據多家國外媒體報導，普遍認為攻擊美國輸油管道供應商Colonial Pipeline為DarkSide勒索軟體的背後駭客。美國FBI隨後於10日也證實，Colonial Pipeline是遭到勒索軟體DarkSide的攻擊，並於11日與CISA共同發布針對DarkSide勒索軟體TLP:White的資安諮詢以警告企業提防勒索攻擊。

資安公司Cybereason介紹，DarkSide是一個駭客組織，通過開發勒索駭客工具並向客戶提供“勒索服務”盈利。雖然行勒索之事，但該組織對於展現道德水平有一定追求，甚至向用戶發布行為準則以規定哪些目標可以被攻擊。諸如政府機構、學校、醫院等屬於禁止對象，與之相對的是鼓勵攻擊英語國家的盈利公司。

　　Cybereason透露，DarkSide採取的是“雙重勒索”攻擊，不僅鎖住被害者的數據勒索贖金，同時也會竊取數據並威脅在公司拒絕支付贖金的情況下公之於眾。目前該組織已經公佈了四十餘家公司的機密資料。

　　雖然DarkSide在聲明中並沒有提及輸油網絡的事件，但這份聲明措辭明顯指向這起事件。在該聲明發布數小時後，美國聯邦調查局週一中午也在官網確認Darkside勒索軟件應當為Colonial Pipeline攻擊事件負責，FBI將繼續與涉事公司和相關政府機構共同調查這一事件。

　　值得一提的是，在DarkSide聲明發布後WTI原油期貨一度從漲1%快速跳水轉跌，但目前Colonial Pipeline僅通過聲明表示正在恢復一些終端間的分支管道，後續只有在公司確保安全且獲得聯邦政府批准後才會讓整個系統重新上線。此前根據市場人士預期，考慮到庫存情況，Colonial Pipeline管網在中斷五天左右後產生的影響將開始顯著提升。

另外，根據FireEye的追隨，下圖為有關DarkSide勒索軟體的攻擊戰術流程(TTPs)

有關DarkSide的情資，請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

負責美國東岸近一半燃油供應的Colonial Pipeline遭Darkside勒索軟體攻擊，5月7日突然宣布關閉整個輸送網路，迄今仍未恢復

Posted on 2021 年 5 月 10 日2021 年 5 月 10 日 by blogadmin

美國最大燃油管道公司Colonial Pipeline在5月7日遭駭客攻擊，在兩小時內被盜取近100GB數據，並植入惡意程式加密數據鎖住系統，需要全面關閉人口稠密的東岸各州供應的關鍵燃料網路，影響美國東岸接近一半的燃油供應。據美國政府官員等消息人士指，相信駭客來自俄羅斯犯罪集團並使用DarkSide勒索軟體。Colonial Pipeline公司已聘請第3方資安公司調查，並已通知聯邦政府及執法部門。

DarkSide在黑暗網上的網站 — DarkSide在暗網上的網站詳細自我介紹

Colonial Pipeline官方聲明指，電腦系統遭網攻，需暫停所有燃油管道運作，以避免發生意外並控制威脅。公司隨後確認，事件涉及勒索軟體。Colonial Pipeline屬美國最大的燃油管道公司，設有長達5,500英里的管道，將燃料從墨西哥灣沿岸運送至美國東南部，更佔東岸燃料45%供應，服務5,000萬民眾，包括美國軍方。Colonial Pipeline每天從美國墨西哥灣沿岸的煉油帶向東海岸輸送汽油、柴油和航空燃料，每天可從休斯敦向遠到北卡羅來納州輸送約250萬桶，另可向紐約輸送90萬桶，其廣泛的管道網路服務於美國主要機場，包括亞特蘭大的機場，這是全球客流量最高的機場。

DarkSide過往亦曾針對巴西兩家國營電力公司進行類似的網路攻擊，使電力供應受影響。有專家表示，勒索軟體攻擊工業的事件比想像中更頻繁發生，但相關消息甚少獲得報道。

白宮亦對此發表聲明，表示總統拜登（Joe Biden）已聽取事件簡報，聯邦政府正努力評估影響，盡力協助Colonial Pipeline恢復運作，避免燃料供應中斷。美國能源部發言人表示，正與Colonial Pipeline，州政府，能源業人士及多個政府部門合作，支援Colonial Pipeline維持服務，並監察能源供應是否有受影響。

有關DarkSide的情資，請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/5d5d6e09e5809a8cb83bcea1

Source:

https://www.washingtonpost.com/business/2021/05/08/cyber-attack-colonial-pipeline/

https://www.worldoil.com/news/2021/5/9/oil-traders-work-to-avert-shortages-from-us-pipeline-hack

https://www.bloomberg.com/news/articles/2021-05-09/colonial-hackers-stole-data-thursday-ahead-of-pipeline-shutdown

https://www.nbcnews.com/politics/national-security/russian-criminal-group-may-be-responsible-colonial-pipeline-ransomware-attack-n1266793

得不償失！Ryuk勒索軟體通過一名學生安裝盜版軟體後，獲得切入點，使一家在歐洲從事COVID-19的生物分子研究機構，損失了研究數據。

Posted on 2021 年 5 月 7 日2021 年 5 月 7 日 by blogadmin

大多數勒索軟體的感染途徑是使用網路釣魚，然後再針對具有漏洞的伺服器。但是歐洲出現了一起新案例，根據安全公司Sophos的說法，一名能夠存取歐洲研究機構網路的學生在安裝了盜版軟體後暴露了他的登錄憑證，該盜版軟體也被證實是盜竊密碼的惡意軟體。歐洲一家未具名的生物分子研究所的學生在安裝了一個“破解”軟體後，意外地為該研究所打開了被勒索軟體攻擊的大門。

該研究所一直在進行COVID-19研究，並與歐洲當地大學建立了緊密的合作關係，使學生能夠通過Citrix的遠端存取客戶端連接到該機構的內部網路。不幸的是，一個可以存取網路的學生下載了一個盜版軟體，這使研究機構受到攻擊。

據Sophos稱，這位不願透露姓名的學生，想擁有一個在研究工作中使用data visualization 的軟體，但該軟體license每年需花費數百美元，該學生搜索了可在Windows電腦上使用的“破解版” 軟體下載並安裝。該檔案實際上是純惡意軟體，並在下載安裝過程中觸發了Windows Defender發送了安全警報，但該學生仍繼續下載並disable了Windows防病毒程式和電腦上的防火牆。

在下載成功後該學生得到的不是惡意破解的可視化工具，而是一個竊取資料的惡意軟體(info-stealer)，一旦安裝，就開始記錄按鍵動作，竊取瀏覽器，Cookie和剪貼板數據等等，因而也找到了學生對研究機構網路的存取憑據。

Sophos推測，竊取資料的惡意軟體的背後駭客，將登錄憑據出售給臭名昭著的Ryuk勒索軟體的背後駭客。在安裝了盜版軟體的13天後，利用學生的登錄憑證與研究機構建立了神秘的遠端桌面(RDP)連接。研究人員指出，這連接是通過一台名為龍貓(Totoro)的電腦進行的，“在建立這種連接的十天後，部署了Ryuk勒索軟體”，Sophos補充說。

這次事件，由於備份尚未完全更新，該研究機構損失了一周的研究數據。此外，在研究所恢復正常運作之前，必須從頭開始重建系統和伺服器檔案。

有關Ryuk的情資，請參考如下:

https://otx.alienvault.com/pulse/602d94a51d5a1e11cc85feef

https://otx.alienvault.com/pulse/5f99dd6b17da45dfb9dc296e

https://otx.alienvault.com/pulse/5ff75814478f6984b7bf5515

https://otx.alienvault.com/pulse/606dc14b4af856929a578e3a

Source:

MTR in Real Time: Pirates pave way for Ryuk ransomware

REvil的揭秘網站上廣達的頁面不見了，這意味著什麼?

Posted on 2021 年 4 月 28 日2021 年 4 月 28 日 by blogadmin

使用REvil勒索軟體的駭客組織在其暗網Happy Blog中突然移除廣達的頁面，同時也刪除了有關蘋果MacBook 的設計圖。

由4月21發現REvil背後的駭客組織稱成功入侵台灣代工大廠廣達並取得大量機密資料，包含蘋果MacBook 設計圖等，但日前突然傳出上載到REvil暗網的Mac 產品設計圖已被移除，同時有關廣達的頁面也被刪除了。如下圖顯示:

另外根據bleepingComputer的報導，REvil突然將檔案從暗網移除(或隱藏起來)，與他們一貫手法有異，猜測駭客是為了與廣達談判而暫時將數據洩漏頁隱藏，同時又停止向媒體爆料，BleepingComputer取得REvil給廣達最新的贖金倒數頁面:

駭客從之前勒索5千萬美元降價至2千萬美元，並將截止付款日延後至5月7日，另外駭客也揚言如沒有得到廣達的回應，將公開新的Apple logo和 iPad計劃等資料。

根據法國資安媒體LeMagIT統計，REvil在過去12個月裡已知攻擊的數量如下圖所示，僅在4月份已入侵了26個機構。

在昨天4月27日，REvil背後的駭客發布了一個新的受害者頁面，Kajima Corp即日本鹿島建設株式會社，REvil稱已從日本鹿島建設株式會社竊取了大量機密資料，如合約，保密協議和藍圖，設計圖等，共盜13000000個檔案，並”建議”該株式會社在5月1日前買回檔案，REvil背後的駭客無疑為當今最活躍的網路犯罪團體之一。

有關REvil的情資，請參考如下:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

勒索軟體Babuk入侵美國首都華盛頓特區警察局，駭客揚言不付贖金即聯繫當地黑幫曝露警方線人

Posted on 2021 年 4 月 27 日2021 年 4 月 27 日 by blogadmin

在Babuk勒索軟體背後的駭客在其暗網洩露了盜來數據的螢幕截圖之後，美國華盛頓哥倫比亞特區大都會警察局(Metropolitan Police Department of the District of Columbia)已承認他們遭受了網路攻擊，駭客威脅除非DC警察局同意支付勒索贖金，否則將洩露敏感的警察檔案，這些檔案可暴露警方的調查和線人。

哥倫比亞特區大都會警察局是華盛頓特區的執法機構，它是美國十大警察部隊之一，僱有大約4,000名警察和600名輔助人員。

華盛頓特區警察局的公共發言人Sean Hickman在對外媒的聲明中，表示DC警察知道伺服器受到入侵，FBI正在調查此事。

“我們知道我們伺服器上的未經授權的存取。在確定全部影響並繼續審查活動的同時，我們正與FBI進行了全面調查。” -大都會警察局。

螢幕截圖顯示Babuk勒索軟體的駭客已獲得存取調查報告，軍官紀律檔案，在地黑幫檔案，嫌犯大頭照和管理檔案的權限。

Babuk data leak page for the Metropolitan Police Department

使用Babuk勒索軟體的駭客稱它從DC警察局伺服器下載了250 GB以上的數據。

駭客組織現在給DC警察官員三天時間來回應他們的贖金要求。否則，他們將與當地黑幫聯繫並暴露警方線人。

Babuk勒索軟體的駭客是當今最新的勒索軟體組織之一，該組織於2021年1月開始運營，已經入侵了一些大型公司，例如西班牙電話零售連鎖店 Phone House 和NBA的 Houston Rockets。

該組織最獨特的功能之一是其勒索軟體payload能夠加密存儲在VMWare eSXI共享虛擬hard drives上的檔案。它是可以做到這一點的僅有的三個勒索軟體品種之一（另外兩個為勒索軟體Darkside和RansomExx）。

但是安全公司 Emsisoft警告說，此功能經常有問題，並可能導致永久破壞受害者檔案。

有關Babuk的情資，請參考如下:

https://otx.alienvault.com/pulse/60212e7202feb173ebc48a26

https://otx.alienvault.com/pulse/6006d3a92b7c02cbe3f952e4

https://otx.alienvault.com/pulse/5ff78f0d8ae18856ebda8c28

*****竣盟科技快報歡迎轉載，但請註明出處

DarkSide勒索軟體的背後駭客擴展其敲詐技倆–賣空受害者的股價

Posted on 2021 年 4 月 23 日2021 年 4 月 23 日 by blogadmin

DarkSide勒索軟體的背後駭客正在擴展其勒索策略，針對在美國那斯達克(NASDAQ)或其他股票市場上市的公司。

DarkSide的駭客其暗網站上發布的公告說，它願意提前通知不當的市場交易者，以便他們可以賣空公司的股票價格，然後才在其暗網公佈受害者資料。

圖片的內容: 現在我們的團隊和合作夥伴對許多在那斯達克和其他證券交易所進行交易的公司進行加密。如果公司拒絕付款。我們準備在公佈之前提供資料，這樣就可賺取股票下跌的部分，寫信給我們與我們聯繫，我們將為您提供詳細資訊。

DarkSide認為，讓一家上市交易公司的名字在其網站上的負面影響將足以導致其股價下跌，並使狡猾的交易者獲利。

根據Recorded Future的資安分析師Dmitry Smilyanets說，儘管其他勒索軟體組織曾討論過如何利用公開披露攻擊對股市造成影響，但這從未成為他們官方攻擊媒介，DarkSide正式成為第一個利用攻擊打擊受害公司股價的勒索軟體。

DarkSide的公告同時也是以一種間接手段來威脅被入侵的公司，即不支付贖金可導致負面新聞報導，其影響力足以影響其股市市場，並足以迫使一些受害者支付所要求的贖金。

這種方法毫無疑問只是勒索軟體組織不斷增加的勒索工具庫中的最新敲詐手法之一。資安分析師說，我們的研究證明，支付贖金的人越來越少，這意味著勒索軟體參與者必須找到新的方法來勒索受害者的錢，去年，我們看到了DDoS攻擊的威脅，但這些威脅似乎並沒有真正發揮作用，因此他們不斷尋找其他方法。

一般勒索軟體組織敲詐手法:

*受到DDoS的攻擊

*打電話給要從備份中恢復數據的受害者

*試圖對負責批准贖金支付的高管提出人身威脅

*威脅要通知受害公司業務合作夥伴

*威脅受害公司，他們會將安全漏洞通知記者

*威脅將有關違規行為通知隱私監管機構，以便該公司可被罰款

*甚至發送電子郵件給受害者的客戶，要求客戶向公司施加壓力，要求其支付贖金，並避免客戶的數據在線上洩漏

有關DarkSide的情資:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/603d19ff5e6680fa73bbf7b3

外媒爆廣達電腦遭REvil入侵，被勒索5千萬美元，REvil同時以竊取的資料來勒索Apple電腦

Posted on 2021 年 4 月 21 日 by blogadmin

根據國外媒體報導，就在今天4月21，發現REvil背後的駭客在暗網稱成功入侵廣達並取得大量機密資料，由於廣達拒絕付款以取回其被盜的數據，因此，REvil決定公布其主要客戶(Apple)的資料，施壓廣達同時並轉向勒索Apple。REvil公布了Apple的機密設計圖，並稱若 5 月 1 日不付贖金，這批包括 Mac 產品等資料，之後就會出售給其他品牌商並公布內容。REvil同時透露還有Apple Watch、Macbook Pro以及ThinkPad Z60m等設計圖。REvil最先公布的是已經發佈的Macbook Air M1設計圖，同時表示，若持續不付款，將每天公佈不同的設計圖讓各界檢視。