Emotet捲土重來並以Trickbot重建其殭屍網路!

Posted on by blogadmin

Key Points:

*在歐洲刑警關閉Emotet殭屍網路及其C2伺服器的十個月後,Emotet再次活躍起來。

*今年 4 月 25 日,執法部門還從受感染的電腦上大規模移除了 Emotet。

*新的 Emotet 伺服器和惡意軟體樣本已於 11 月 14 日出現。

Emotet 惡意軟體曾被認為是傳播最廣泛的惡意軟體,它使用垃圾郵件活動和惡意附件來分發惡意軟體,Emotet 會使用受感染的設備來執行其他垃圾郵件活動並安裝其他payloads,例如 QakBot (Qbot) 和 Trickbot 惡意軟體。然後,這些payloads將用於向駭客提供部署包括 Ryuk、Conti、ProLock、Egregor 等勒索軟體的入侵初期的存取權限。

今年年初,由歐洲刑警組織和8國警方合作協調的一項國際執法行動接管了 Emotet 基礎設施並逮捕了兩名系統管理員,並為了預防Emotet起死回生,於4月25自遠端關閉了受害系統上的Emotet功能並自動執行程式,移除Emotet殭屍網路,從受感染的設備中移除了惡意軟體,但新的Emotet伺服器和惡意軟體樣本已於 11 月 15 日出現。

Photo Credit: Cryptolaemus
Emotet感染鏈, Photo Credit:SANS ISC

來自CryptolaemusGDataAdvanced Intel的研究人員已經開始看到 TrickBot 惡意軟體在受感染設備上投放Emotet的載入器(Loader),根據Cryptolaemus研究員,在過去駭客經常運用Emotet來在受害電腦下載TrickBot,但駭客現在使用一種稱為“Operation Reacharound”的方法,利用TrickBot 的現有基礎設施重建 Emotet 殭屍網路,研究員相信這可能是Emotet回歸的方式。

另外,Cryptolaemus的成員 Abuse.ch發布了新的Emotet殭屍網路C2伺服器列表,據了解,新的 Emotet 基礎設施正在迅速增長,已有超過 246 台受感染設備已經充當C2伺服器,強烈建議網路管理員封鎖以下相關的 IP 地址。

177.72.80.14

51.210.242.234

51.178.61.60

196.44.98.190

185.148.169.10

142.4.219.173

168.197.250.14

94.177.248.64

81.0.236.93

66.42.55.5

45.76.176.10

188.93.125.116

103.8.26.103

103.8.26.102

相關的Indicators of Compromise (IOCs)

SHA256 hash: 7c5690577a49105db766faa999354e0e4128e902dd4b5337741e00e1305ced24

SHA256 hash: bd9b8fe173935ad51f14abc16ed6a5bf6ee92ec4f45fd2ae1154dd2f727fb245

SHA256 hash: f7a4da96129e9c9708a005ee28e4a46af092275af36e3afd63ff201633c70285

SHA256 hash: d95125b9b82df0734b6bc27c426d42dea895c642f2f6516132c80f896be6cf32

SHA256 hash: 88b225f9e803e2509cc2b83c57ccd6ca8b6660448a75b125e02f0ac32f6aadb9

SHA256 hash: 1abd14d498605654e20feb59b5927aa835e5c021cada80e8614e9438ac323601

URLs:

hxxp://av-quiz[.]tk/wp-content/k6K/
hxxp://devanture[.]com[.]sg/wp-includes/XBByNUNWvIEvawb68/
hxxp://ranvipclub[.]net/pvhko/a/
hxxp://visteme[.]mx/shop/wp-admin/PP/
hxxps://goodtech.cetxlabs[.]com/content/5MfZPgP06/
hxxps://newsmag.danielolayinkas[.]com/content/nVgyRFrTE68Yd9s6/
hxxps://team.stagingapps[.]xyz/wp-content/aPIm2GsjA/

製作TrickBot殭屍網路的駭客組織與釣魚郵件駭客Shatak聯手合作,在受害電腦上植入Conti勒索軟體

Posted on by blogadmin

根據資安業者Cybereason最新的報告指出,TrickBot殭屍網路背後的駭客組織Wizard Spider目前正與 Shatak (TA551) 駭客組織合作,散布TrickBot 和 Bazar Backdoor 惡意軟體,以用於在受感染系統上部署 Conti 勒索軟體。研究人員發現,Shatak 和 TrickBot 於 2021 年 7 月開始合作,並取得了不錯的成果,

因此攻擊活動一直持續到今。

Shatak 的感染鏈
Photo Credit:Cybereason

Cybereason警告說Shathak 駭客組織正在大肆散佈惡意惡意垃圾郵件,這些郵件以受密碼保護的存檔檔案的形式附加到網路釣魚電子郵件中,檔案包含帶有macros的惡意檔案,這些macros可以下載和執行 TrickBot 或 BazarBackdoor,使駭客能進行包括偵察、橫向移動、竊取憑證和數據外洩。

據了解,製作TrickBot殭屍網路的駭客組織Wizard Spider(或被稱為ITG23),除通過勒索軟體即服務 ( Ransomware as a Service;RaaS ) 運作模式將惡意軟體的存取權出租給會員之外,還負責開發和維護Conti勒索軟體。

Cybereason 的研究人員說,他們觀察到駭客獲得初始入侵到企業網路,再到駭客實際部署勒索軟體的平均時間為兩天,可見這聯手合作發揮了相當大程度的功效。美國網路安全和基礎設施安全局 (CISA) 和聯邦調查局 (FBI) 警報,截至 2021 年 9 月,Conti 勒索軟體針對美國和其他國際企業的攻擊已發生超過 400 起。

為了保護系統免受 Conti 勒索軟體的入侵,CISA和FBI建議實施的緩解措施,包括多重身份驗證 (MFA)、禁用未使用的 RDP 服務、實施網路分段以及使操作系統和軟體保持最新狀態等。

Clop 勒索軟體攻擊激增,鎖定Serv-U軟體的安全漏洞 CVE-2021-35211

Posted on by blogadmin

NCC Group的研究人員發現,操作Clop勒索軟體駭客組織(也稱為TA505和FIN11)正在積極性利用 SolarWinds 的Serv-U 漏洞CVE-2021-35211破壞企業網路並最終對設備進行加密。CVE-2021-35211存在於 SolarWinds 的 Serv-U 產品中,當Serv-U的 SSH 暴露在 Internet 上時,該漏洞將允許駭客以特權執行任意程式,駭客可安裝和運行惡意payloads,或查看和更改數據等操作。SolarWinds於2021年7月發布了緊急的安全更新,因為它發現了中國駭客組織DEV-0322在針對性攻擊中利用它。距離 SolarWinds 發布此漏洞的安全更新已經近四個月,但潛在的易受攻擊的 Serv-U伺服器的百分比仍保持在 60% 以上,建議立即使用Serv-U 15.2.3版本hotfix或更高的版本。

以往Clop也在其攻擊中使用漏洞,例如在Accellion FTA伺服器中的零時差漏洞攻擊。NCC研究人員表示,在發現的新攻擊中,在成功利用 CVE-2021-35211 之後,操作Clop勒索軟體的駭客利用 Serv-U伺服器產生一個由攻擊者控制的子進程(Subprocess),從而使他們能夠在目標系統上運行command,開闢了惡意軟體的部署、網路偵察和橫向移動,為勒索軟體攻擊奠定了基礎。研究人員解釋說,作為攻擊的一部分,Clop使用PowerShell命令來部署 Cobalt Strike Beacon。此外,攻擊者劫持了名為 RegIdleBackup 的預定任務,使他們能夠在入侵的機器上實現持久性並在下一階段,部署FlawedGrace RAT (TA505至少自 2017 年 11 月以來一直在使用的工具)。

Photo Credit: NCC Group

目前,最多易受攻擊的 Serv-U伺服器的國家是中國,有1141台,而美國則位居第二,台灣也有50台受攻擊的伺服器。

研究人員在報告中警告說,7 月份在Port22上識別出的 Serv-U (S)FTP伺服器中有 5945台 (94%)處於易受攻擊的狀態。10月份,在SolarWinds發佈修補三個月後,潛在易受攻擊的伺服器數量仍然很大,為2784台(66.5%)。

NCC Group 為懷疑受到攻擊的系統管理員發布了以下的清單:

*檢查您的 Serv-U 版本是否易受攻擊

*找到 Serv-U 的 DebugSocketlog.txt

*搜索諸如‘EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive();’之類的項目

*檢查 Windows 事件日誌中圍繞異常日期/時間的事件 ID 4104,並查找可疑的 PowerShell 命令

*使用提供的 PowerShell 命令檢查是否存在名為 RegIdleBackup被劫持的預定任務

*預防被濫用:COM handler中的 CLSID 不應設置為 {CA767AA8-9157-4604-B64B-40747123D5F2}

*如果任務包含不同的 CLSID:使用提供的 PowerShell 命令檢查註冊表中 CLSID 對象的內容,返回 Base64 編碼字串可能是入侵的指標。

美國要線索!懸賞1000萬美元,決心追捕DarkSide勒索軟體的幕後駭客

Posted on by blogadmin

美國國務院(The Department of State)懸賞最高 1000萬美元,以獎勵能夠識別或定位Darkside幕後關鍵領導成員的資訊提供者。根據國務院 11月4日發布的新聞稿,該部門還提供最高 500 萬美元的獎金,獎勵在任何國家逮補或定罪參與DarkSide勒索軟體事件的人。通過提供這一懸賞,美國表明其致力於保護世界各地的勒索軟體受害者,免受網路犯罪分子的利用。美國期待那些窩藏勒索軟體罪犯的國家願意為受勒索軟體影響的受害者企業和組織伸張正義。

美國政府官員指出,DarkSide 是 2021 年 5 月對 Colonial Pipeline 的勒索軟體攻擊的幕後黑手,該攻擊導致該公司關閉了約 5,500 英里的管道,其中包含輸送美國東岸使用的 45% 的燃料,造成停工數日,導致油價飆升、民眾恐慌性購買(Panic buying),最後Colonial Pipeline支付了440 萬美元,而後美國司法部通過獲得加密貨幣錢包的存取權收回了其中的大部分贖金。

據新聞稿,此獎金也將適用於DarkSide勒索軟體的更名品牌(Rebrand) BlackMatter勒索軟體,當勒索軟體在攻擊一個高度敏感的組織後開始感受到執法部門的壓力時,他們通常會以不同的名稱重新命名,過去也有其他勒索軟體進行了更名。包括:

GandCrab–> REvil

Maze –>Egregor

Bitpaymer–> DoppelPaymer­­–>Grief

Nemty –> Nefilim –> Karma

據了解,懸賞的獎金由國務院的跨國有組織犯罪獎勵計劃 (the State Department’s Transnational Organized Crime Rewards Program; TOCRP) 提供,旨在打擊跨國有組織犯罪。迄今為止,TOCRP 已經支付了超過 1.35 億美元的獎勵,官員們表示,自 1986 年以來,已有超過 75 名跨國犯罪分子和毒販等經過TOCRP獎勵計劃被繩之以法。

為遏止重大基礎設施遭網攻和勒索軟體事件的激增,美國國務院7 月也曾提出Rewards for Justice(正義獎勵)計畫。

BlackMatter 勒索軟體利用名為Exmatter的竊密工具,加速竊取受害公司的數據

Posted on by blogadmin

根據資安公司賽門鐵克的安全研究人員的觀察,BlackMatter已開始在攻擊中利用一種新的竊密工具,加速竊取受害公司的數據。被稱為Exmatter的自訂義工具允許操作BlackMatter 勒索軟體的駭客組織輕鬆定位受感染系統中的有價值數據,表明他們旨在加快攻擊的速度。

據了解,Exmatter 從選定的目錄中竊取特定類型的檔案,並在勒索軟體本身在受感染系統上執行之前將它們上傳到攻擊者控制的伺服器。研究人員表示,這種將數據源(Data source)縮減到僅被視為最有利可圖或業務最關鍵的數據源,旨在加快整個竊取過程,相信是為了讓駭客可以在被中斷之前完成他們的攻擊階段。

Exmatter被編譯為.NET 可執行工具,如果發現特定的command line參數,則嘗試隱藏其視窗,然後繼續收集系統上的所有驅動器名稱和檔案路徑,不包括特定目錄、具有特定屬性的檔和大小小於1,024位元組的檔。Exmatter旨在對選定的檔案類型(如 PDF、Word 檔、spreadsheets和 PowerPoint)進行滲透,並以 LastWriteTime 優先處理要滲透的檔案類型。一旦滲透完成,Exmatter 將覆蓋並刪除受害者電腦中的任何痕跡。

賽門鐵克在報告中表示,攻擊者一直致力於改進 Exmatter,迄今為止觀察到該工具的多種變體,表明其開發人員試圖改進其功能,以盡可能加快數據竊取過程。

自 2021 年 7 月以來,BlackMatter 已被用於攻擊全球多個組織,包括美國的關鍵基礎設施實體。

BlackMatter 與 Coreid 網路犯罪組織有關聯,該組織也經營 Darkside 勒索軟體。在過去的 12 個月中,該組織一直在進行各種引人注目的攻擊,例如 2021 年 5 月對殖民地管道的攻擊。

與大多數勒索軟體參與者一樣,與 Coreid 相關的攻擊會竊取受害者的數據,然後該組織威脅要發布這些數據,以進一步迫使受害者支付贖金。賽門鐵克總結道,Exmatter竊密工具是由Coreid本身或是其會員建立的仍有待觀察,但其發展表明數據盜竊和勒索仍然是該組織的核心重點。

有關Exmatter的入侵指標Indicators of compromise (IOCs):

URL:

https://159.89.128.13/data/

https://157.230.28.192/data/

IPv4:

165.22.84.147

157.230.28.192

159.89.128.13

SHA 256:

fcaed9faa026a26d00731068e956be39235487f63e0555b71019d16a59ea7e6b

8eded48c166f50be5ac33be4b010b09f911ffc155a3ab76821e4febd369d17ef

325ecd90ce19dd8d184ffe7dfb01b0dd02a77e9eabcb587f3738bcfbd3f832a1

SHA 256:

58e77aa4207d1f3ae808215c447839ef8b081609

347b3921b0660986bc0ce4d1a41aa77f04377a37

日本跨國醫藥服務公司立力科,遭Rangar Locker勒索軟體攻擊

Posted on by blogadmin

立力科於10月初曾公告其總部的伺服器遭非法存取,10月底發現其歐洲子公司也遭駭客攻擊

日本遊戲開發商巨頭卡普空也曾於2020年9月遭Ragnar Locker加密,被盜1TB數據

10月27日,日本立力科(Lincial) 在其官網上發布關於其歐洲子公司遭網路攻擊的資安事件。據了解,事緣於10月21 立力科歐洲子公司檢測到外部第三方網路攻擊而中斷了歐洲網路以及與日本、亞洲和美國連接的的網路,在經當地的IR資安公司進行恢復及評估後,聲稱沒有任何資訊外洩或破壞,但隨後在10月25日證實收到Ragnar Locker的勒索信,要求支付贖金以換取被盜的數據。立力科的總部位於日本大阪,為東京證券交易上市之公司並已於全球23個國家,包括台灣、歐洲及北美洲等地設立子公司,全球員工則超過1000位。

立力科官網

立力科同時證實不打算與駭客交涉也不会支付贖金,另一方面,操作Ragnar Locker勒索軟體的駭客也已在其揭秘網站上列出立力科的頁面,並稱該公司不在意數位安全。

由於立力科曾於10月5日,發布有關其日本總部檔案伺服器被非法的第三方存取的資安事件,這次遭Ragnar Locker攻擊是否也因非法第三方存取日本伺服而器引起?目前仍不得而知,但據了解立力科目前正配合外部第三方資安公司進行進一步的調查,並已經通報包括日本及歐洲有關當局。

以往曾被Ragnar Locker攻擊的知名受害企業包括:

*2021年6月台灣記憶體大廠威剛科技ADATA遭Ragnar Locker攻擊

*日本知名遊戲大廠卡普空,被盜1TB 數據,勒索1100萬美元的贖金

*義大利酒商Campari Group,被盜多達2TB未加密的檔案,提出高達1,500萬美元的贖金要求

*法國貨櫃船運業者CMA CGM ,要求1,000萬美元的贖金,最後CMA CGM以450萬美元支付贖金。

*葡萄牙跨國能源巨頭Energias de Portugal竊取了 10 TB 的,勒索1100萬美元的贖金

有關Ragnar Locker勒索軟體的入侵指標Indicators of compromise (IOCs):

SHA 1:

01fff32c5e016bfd3692072ef0ef5b943f2da110

af53890ed1d4753e7493d48862bdd7d18a2b11f6

0f944504eebfca5466b6113853b0d83e38cf885a

e22344a92c91b567a6cba7eb66686c438d479462

64b99b55f0a1ec4f8f30897a460c574300a8acbd

MD5:

9b2a874de86f10ff992a30febdb6f9e8

5b06303cdf191dae161e849841f8aff4

f7c48ee1f3ee1b18d255ad98703a5896

00fb3f27bccef7c5658ff9f5ce487cec

7529e3c83618f5e3a4cc6dbf3a8534a6

擁槍團體美國全國步槍協會,遭Grief勒索軟體入侵

Posted on by blogadmin

10 月 28 日,據美國NBC新聞報導,操作Grief勒索軟體的俄羅斯駭客組織聲稱已經成功入侵了美國全國步槍協會 (NRA),週三在其揭秘網站上發布了來自全國步槍協會數據庫的13 個檔案,威脅說如果不支付贖金,就會發布敏感資訊。美國全國步槍協會( National Rifle Association ; NRA ; 簡稱美國槍會 )是美國最大規模的槍械組織,有超過五百萬名會員,美國槍會積極參加美國當地的政治活動,具有重大政治影響力。目前尚不清楚 Grief是否攻擊了美國槍會的一個較小的分支機構,或是攻擊了的中央網路。

Grief勒索軟體揭秘網站

根據消息人士,美國槍會沒有回應 NBC 就此次駭客事件發表評論的請求,但據報導,美國槍會只稱是它們的電子郵件系統遇到了技術問題。隨後,美國槍會在Twitter一條推文中表示,它們不討論是其實體或電子安全相關的問題,並補充說它們採取非常措施來保護會員和捐助者的資料。

近年來,針對各種公司和組織的勒索軟體攻擊激增,但很少有像美國槍會那樣具有政治敏感性的目標。該組織長期以來一直與美國共和黨高層立法者保持密切聯繫,並且一直是共和黨候選人的主要支持者。全國步槍協會在過去兩次總統選舉中花費了數千萬美元幫Donald Trump助選。

BleepingComputer,Grief 勒索軟體與名為 Evil Corp. 的俄羅斯駭客組織有關,Evil Corp 自 2009 年以來一直活躍,並參與了許多惡意網路活動,包括分發Dridex木馬以竊取網上銀行憑證和竊取資金。

駭客組織在 2017 年轉向勒索軟體,當時他們發布了名為 BitPaymer 的勒索軟體。BitPaymer 後來在 2019 年演變為 DoppelPaymer 勒索軟體操作。

在多年攻擊美國利益後,美國司法部指控 Evil Corp 成員竊取超過 1 億美元,並將該駭客組織列入外國資產控制辦公室 (OFAC) 制裁名單。

不久之後,美國財政部隨後警告說, 勒索軟體談判人員可能會因協助向制裁名單上的駭客組織支付贖金而面臨民事處罰。

從那時起,Evil Corp 就經常以不同的名稱發布新的勒索軟體,以逃避美國的制裁。這些勒索軟體系列包括 WastedLocker、  Hades、  Phoenix CryptoLocker、  PayLoadBin,以及最近的 Macaw Locker。然而,他們最初的勒索軟體 DoppelPaymer 以相同的名稱運作了多年,直到 2021 年 5 月,他們停止在揭秘網站點上列出新的受害者。

一個月後,Grief 勒索軟體出現了,基於程式碼的相似性資安研究人員認為這是DoppelPaymer 的品牌重塑。

有關Grief勒索軟體的入侵指標Indicators of compromise (IOCs):

SHA256 :

b5c188e82a1dad02f71fcb40783cd8b910ba886acee12f7f74c73ed310709cd2

91e310cf795dabd8c51d1061ac78662c5bf4cfd277c732385a82f181e8c29556

dda4598f29a033d2ec4f89f4ae687e12b927272462d25ca1b8dec4dc0acb1bec

0864575d4f487e52a1479c61c2c4ad16742d92e16d0c10f5ed2b40506bbc6ca0

b21ad8622623ce4bcdbf8c5794ef93e2fb6c46cd202d70dbeb088ea6ca4ff9c8

聯邦調查局的Flash Alert,警告說Ranzy Locker勒索軟體已經入侵了數十家美國公司

Posted on by blogadmin

聯邦調查局 (Federal Investigation Bureau-FBI) 表示,操作Ranzy Locker 勒索軟體的駭客已經入侵了 30 多家美國公司。FBI在CU-000153-MW的Flash Alert警報中提及,直到2021 年 7 月,使用 Ranzy Locker勒索軟體的未知網路犯罪分子已經入侵了 30 多家美國企業,受害者包括關鍵製造業的建築部門、政府設施部門的學術部門、IT部門和交通部門等。

根據FBI的警報, 操作Ranzy Locker的駭客擅長通過暴力破解遠端桌面協議 (RDP) 利用易受攻擊的 Microsoft Exchange伺服器或使用在網路釣魚攻擊中竊取的憑證來入侵目標的網路。一旦進入受害者的網絡,操作Ranzy Locker的駭客還會在加密受害者公司網路上的系統之前竊取未加密的檔案,這同時是大多數其他勒索軟體使用的策略。一般來說,駭客威脅洩露的檔案包含客戶資料、個人身份資料 (PII) 和財務記錄等敏感資料,迫使受害者支付贖金以恢復其檔案並防止數據外洩。

Ranzy Locker勒索信

據了解,Ranzy Locker揭秘網站的網域曾被 Ako 勒索軟體使用,而 Ako 隨後改名為 ThunderX,然後又再改名為 Ranzy Locker,相信從 Ako 到 ThunderX 再到 Ranzy Locker只是勒索軟體品牌重塑的一部分。ThunderX於 2020 年 8 月啟動,由於它的加密機制存在缺陷,在啟動後的一個月內, 被資安公司 Tesorion 發現了其加密的弱點,並建立了一個免費的解密器,不久之後,駭客修復了這些錯誤,並以 Ranzy Locker 的名義發布了更新版本的勒索軟體。

此次聯邦調查局的警報是與 CISA 協調發布的,旨在提供資料以幫助安全專業人員檢測和防範此類勒索軟體攻擊的企圖,以下有關Ranzy Locker勒索軟體的入侵指標:

Hostname:

www.tutorialjinni.com

URL:

https://www.tutorialjinni.com/ranzy-ransomware-sample-download.html

SHA 256:

c4f72b292750e9332b1f1b9761d5aefc07301bc15edf31adeaf2e608000ec1c9

bbf122cce1176b041648c4e772b230ec49ed11396270f54ad2c5956113caf7b7

ade5d0fe2679fb8af652e14c40e099e0c1aaea950c25165cebb1550e33579a79

90691a36d1556ba7a77d0216f730d6cd9a9063e71626489094313c0afe85a939

776261646d696e2044454c4554452053595354454d53544154454241434b5550

393fd0768b24cd76ca653af3eba9bff93c6740a2669b30cf59f8a064c46437a2

SHA 1:

9a77e2f8bf0da35f7d84897c187e3aff322f024d

43ccf398999f70b613e1353cfb6845ee09b393ca

國外資安媒體揭露,技嘉再次成為勒索軟體的受害者,AvosLocker攻擊了主板大廠商技嘉,威脅發布所有盜來的數據

Posted on by blogadmin
AvosLocker的揭秘網站上技嘉的頁面

根據國外資安媒體ThreatpostCybernews等的報導,在被ransomEXX勒索攻擊的三個月後,技嘉(Gigabyte)又被AvosLocker勒索軟體攻擊,操作名為 AvosLocker勒索軟體的駭客聲稱已成功攻擊了技嘉。AvosLocker是一種新型勒索軟體,於 2021 年6月首次被發現,與大多數勒索軟體組織一樣,以勒索軟體即服務(Ransomware as a Service;RaaS)的模式經營,也同時招募會員(Affiliate),其揭秘網站以紫藍色甲蟲作為標誌,過去的受害者包括美國、英國、阿聯酋、比利時、西班牙和黎巴嫩,此次技嘉事件是AvosLocker首度入侵台灣,一般來說AvosLocker的勒索金額從50,000美元到75,000美元不等,比其他勒索軟體要求的金額相對地低。根據資安公司Cyble在 7 月的報告,AvosLocker勒索軟體主要通過垃圾郵件活動或廣告傳播惡意軟體來感染 Windows 系統。本月較早時候,AvosLocker引入了拍賣功能,通過拍賣的方式在Telegram和暗網論壇上轉售不付贖金的受害者數據。

10月20日,AvosLocker釋出了一些盜來數據,證明他們確實攻擊了技嘉,這些數據包括密碼和用戶名、員工工資單的詳細資料、人力資源檔案和信用卡詳細資料等。此外,還包括有關技嘉與 Barracuda Networks Inc.、Blizzard Entertainment Inc.、Black Magic、Intel Corp.、Kingston Technology Corp.、Amazon.com Inc. 和 Best Buy Co. 之間的文件。

AvosLocker揭秘網站上的受害者名單
AvosLocker釋出技嘉客戶的樣本

這是技嘉3個月內的第二次被勒索軟體攻擊事件,8月初遭受RansomEXX勒索軟體攻擊,被盜112GB 的數據,其中包括來自 Intel、AMD 和 American Megatrends 的有價值的機密文件,此外,目前尚不清楚 8 月初的攻擊是否與此次AvosLocker的攻擊有關。

10月中宏碁印度的售後服務系統遭Desorden Group入侵,後又證實Desorden也入侵了臺灣總部的系統,並盜取員工的機敏資訊,台灣企業接連發生被入侵後又再次被入侵的事件,資安的把關無疑是企業需要正視的課題。

有關AvosLocker勒索軟體的入侵指標:

SHA 256: 6584cd273625ee121e330a981cc04e1f1d312356c9cccdb62932ea7aad53a731

SHA 256: 43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856

SHA 1: f6f94e2f49cd64a9590963ef3852e135e2b8deba

MD5: d285f1366d0d4fdae0b558db690497ea

MD5: cf0c2513b6e074267484d204a1653222

Gartner 公布 2022年需要深挖的十二大戰略科技趨勢,雲端原生平台、分散式企業、組合性應用程式…還有什麼??

Posted on by blogadmin

Gartner於10月19日在Gartner IT Symposium/Xpo 研討會上,分析師們公布了他們的最新研究成果,正式發布企業機構在2022年需要深挖及探索的十二項重要戰略技術趨勢, Gartner 研究副總裁 David Groombridge表示,CEO們進入 2022 年的兩大業務重點是擴大數位化和建立電子商務,將通過這種方式贏回在封鎖和大流行中損失的收入,以期加速重回業務。肩負著快速實現數位化以滿足CEO需求的CIO必須確保他們具備快速增長和擴展的技術基礎,同時應對混合工作制的新模式,這將使雲端原生平台、網路安全網格和分散式企業成為關鍵趨勢。

Photo Credit: Gartner

Gartner預測在2022年最重要的戰略技術發展趨勢包含:

1.超自動化Hyperautomation

2.生成式人工智慧 Generative Artificial Intelligence (AI)

3.資料結構Data Fabric

4.人工智慧工程AI Engineering

5.自主系統Autonomic Systems

6.決策智慧Decision Intelligence

7.組合性應用程式Composable Applications

8.雲端原生平台 Cloud-native Platforms (CNPs)

9.隱私增強運算Privacy-enhancing Computation (PEC)

10.網路安全網格Cybersecurity Mesh

11.分散式企業Distributed Enterprise

12. 全面體驗Total Experience (TX)

1.超自動化

自動化是數位化轉型的關鍵因素。超自動化(Hyperautomation)提出了一種更快的途徑來識別、審查和自動化整個企業的流程。Gartner 指出,為了最好地實現這一目標,需要重點關注的領域包括提高工作質量、加快業務流程的步伐以及培養決策的敏捷性。

2.生成式人工智慧 (AI)

Gartner 指出,在過去一年中,人們對生成式人工智慧的興趣和投資有所增加。生成式 AI 引用算法,可以使用現有內容(如音頻檔案、圖像或文本)來建立新內容。生成式人工智能可用於多種活動,如支援軟體開發、促進藥物研發和有針對性的營銷,但該技術也會被濫用於詐騙、政治造謠、偽造身份等。Gartner預計到2025年,生成式人工智慧將佔所有生成數據的10%,而目前這一比例還不到1%。

3.資料結構

Gartner 將資料結構(Data Fabric) 定義為一個設計概念,作為資料和連接過程的整合層(結構),作為一種跨平台和業務用戶的靈活、彈性資料的整合方式,資料結構可以顯著減少資料管理的工作,能夠簡化企業機構的資料整合基礎設施並建立一個可擴展架構來減少大多數資料和分析團隊因整合難度上升而出現的技術債務。

4. 人工智慧工程

人工智慧投資的持久力和持久價值在許多公司中參差不齊。一個問題是,一些公司部署了一次 ​​AI 模型並期望價值會永久增加,Gartner 副總裁David Groombridge指出,必須推動持續的努力和模型演變,以從這些投資中獲得更多收益,並指出人工智慧工程(AI Engineering)的採用應該會為人工智慧的工作帶來三倍的價值。 

5. 自主系統

儘管自主系統(Autonomic Systems)處於早期階段,但未來五年應該會從中產生更大的價值。具有內置自學習功能的自主系統可以動態優化性能,在惡劣環境中保護 [公司],並確保他們不斷應對新挑戰,自治系統是可以從所在環境中學習自我管理物理或軟體系統,與自動化甚至自主系統不同,自治系統無需外部軟體更新就可以動態修改自己的算法,使它們能夠像人類一樣迅速適應現場的新情況。Groombridge 指出,這種趨勢預示著軟體的自我管理水平會更高。

6. 決策智慧

決策智慧(Decision intelligence)旨在以可重複的方式對決策進行建模,以提高決策效率並加快實現價值的速度,它預計通過增強人類智慧的自動化來實現這一目標,透過清楚理解並精心設計做出決策的方式以及根據反饋評估、管理和改進結果的方式來改進決策。Gartner預測在未來兩年,三分之一的大型企業機構將使用決策智慧實現結構化決策,進而提高競爭優勢。

7. 組合性應用程式

組合性應用程的思想強調了應用程式的功能塊可以與整個應用程式分離。可以對組件部分進行更精細的調整,以建立比其單一前身俱有更大價值的新應用程式。Gartner 指出,利用組合性應用程式的公司在新功能實施方面可以超過競爭對手 80%。Groombridge表示:“在動蕩的時代,可組合的業務原則幫助企業機構駕馭對業務韌性和增長至關重要的加速變化。沒有它的現代企業機構可能會失去在市場中的前進動力和客戶忠誠度。”

8. 雲端原生平台

為了真正能夠在任何地方提供數位能力,企業必須放棄熟悉的直接遷移並轉向雲端原生平台 Cloud-native Platforms (CNPs)。CNP運用雲端計算的核心能力,向使用互聯網技術的技術創造者提供可擴展的彈性IT相關能力“即服務”,從而加快價值實現時間並降低成本。Gartner 認為,利用雲端技術的本質為技術人員提供 IT 相關功能即服務的雲端原生平台,將在2025 年為大多數新的數位計劃奠定基礎。

9. 隱私增強運算

隱私已成為整個商業環境中越來越重要的問題和優先事項。除了應對不斷成熟的國際隱私和數據保護法外,隱私增強運算(Privacy-Enhancing Computation)可以保護公司及其客戶的敏感數據,保護數據的機密性。Gartner 假設這是通過減少與隱私相關的問題和網路安全事件來維持客戶忠誠度的一種途徑,它認為到 2025 年,大約 60% 的大型企業將使用一種或多種隱私增強運算技術。

10. 網路安全網格

安全網格(Cybersecurity Mesh)是一種架構形式,它為安全 IT 資產提供了一種整合方法,無論它們位於何處。它通過將網路安全的邊界重新定義為個人或事物的身份,為網路安全提供了一種更加標準化和回應性更強的方法。據 Gartner 稱,這是一種在不到兩年的時間內將網路事件的財務影響減少 90% 的途徑。

11. 分散式企業

Gartner 相信混合工作方法的價值,相信那些完全啟用它的公司將實現比未啟用它的同行公司快 25% 的收入增長。這種模式允許員工以地域分散的方式工作,開闢了人才獲取的新途徑。

12. 全面體驗

全面體驗是一項結合客戶體驗、員工體驗、用戶體驗和多重體驗的業務戰略。全面體驗的目標是提升客戶和員工的信心、滿意度、忠誠度和擁護度。企業機構將通過實現具有適應性和韌性的全面體驗業務成果來增加收入和利潤。