BlackCat勒索軟體集團的最新敲詐技倆,在明網上發布數據,向受害者施壓!

ALPHV 勒索軟體集團,又名BlackCat,最近在其揭秘網站上宣布,入侵了美國俄勒岡州的一家豪華度假村The Allison,並通過建立一個專門的明網網站,允許受害者的客戶和員工搜尋他們在攻擊中被盜的數據,將敲詐勒索提升到了一個新的層次。在互聯網上發布數據,使搜尋引擎可搜尋到數據,增加了對受害者的潛在影響,作為這次攻擊的一部分,BlackCat聲稱竊取了 1500 名員工和2,500 多客人的資料,約112GB數據。

網站頁面頂部有兩個Check yourself(檢查自己) 的按鈕,一個用於員工,一個用於酒店客人。

截圖: BlackCat為Allison Resort建立的外洩數據的網站

資全公司 Emsisoft 的威脅分析師 Brett Callow 稱 ALPHV/BlackCat的行動是一種狡猾策略,無疑通過這種策略增加他們從攻擊中獲利的可能性。如果受害公司客戶和員工知道與有關的資料以這種方式公開,受害公司可能更傾向於支付贖金以防止並避免受到集體訴訟的風險。Callow說,過去許多勒索軟體攻擊的受害者並不擔心他們的數據在Tor網路的揭秘網站上發布,他們認為大眾不容易接觸到暗網。

但現在使用該網站,員工、客戶或任何人都可以查看有關酒店客人及其住宿的資料或員工的個人數據。雖然客戶數據僅包含姓名、到達日期和住宿費用,但員工數據包含機敏的資料,例如姓名、社會安全號碼、出生日期、電話號碼和電子郵件地址等內容。

BlackCat建立這個網站的目的很明確,就是嚇唬員工和客人,要求酒店從網上刪除他們的數據,而這只能通過支付贖金來完成。

BlackCat勒索軟體至少從 2021 年 12 月開始活躍,是第一個用 Rust語言編寫的專業勒索軟體,這樣的選擇使他們能夠規避來自傳統安全解決方案的檢測。此外,這使得他們的惡意軟體能跨平台,可在 Windows 和任何 *NIX 系統上自由啟動。根據美國聯邦調查局 (FBI)發布的警報,自 2021 年 11 月首次發現 BlackCat 勒索軟體攻擊以來,截至 2022 年 3 月,全球至少有 60 個實體受害。許多資安專家認為,ALPHV/BlackCat是另一個勒索軟體組織Darkside(也稱為 BlackMatter)的更名,該組織在2021 年5月攻擊了美油管Colonial Pipeline,關閉了美國東岸整個輸送網路,最後Colonial Pipeline向操作DarkSide的駭客支付了約新台幣1.39億元的贖金。

有關BlackCat勒索軟體的”部分”入侵指標(Indicator of compromise -IOCs):

Domain:

sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion

id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion

SHA 256:

f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6

f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89

f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb

傳出上市半導體企業遭勒索軟體攻擊,這次的罪魁禍首是它-Cuba Ransomware!首見勒索軟體古巴入侵台灣!

據觀察,竣盟科技於6月14日在勒索軟體古巴(Cuba)的Tor揭秘網站上,發現該勒索軟體集團宣稱加密了總部在新竹科學園區的某無晶圓業IC設計業者,該業者長期耕耘利基型DRAM記憶體和系統晶片等產品之開發設計、銷售與技術服務,是全球純IC設計企業Fabless 50強之一。

操作勒索軟體古巴的駭客稱已在6月1日竊取該半導體公司的原始程式碼,財務文件、與銀行員工通信、帳戶移動活動、資產負債表、稅務檔、薪酬等資料,但尚未透露數據量、或贖金價格。不過這項消息尚未獲得業者的證實,目前該公司亦沒有在公開資訊觀測站針對這次駭客的發布重大訊息。

Cuba 勒索軟體於2020 年 2 月首次被發現,主要是透過Hancitor惡意程式散布,利用釣魚郵件、微軟Exchange漏洞、盜來的憑證或RDP工具來獲得對脆弱的Windows系統的存取,成功入侵之後再部署後門程式,最後才執行Cuba勒索軟體。去年 12 月美國聯邦調查局 (FBI)警告說,勒索軟體古巴成功入侵了美國五個重大基礎設施(包括金融、政府、醫療保健、製造業和資訊科技部門)的49個實體,至少賺取了4390萬美元的贖金。雖然攻擊的數量相較其他勒索軟體少,但其選擇性的攻擊,往往只針對大型企業或組織,顯示了其瞄準性攻擊的策略。

根據TrendMicro的研究報告,今年4 月下旬,觀察到勒索軟體古巴的新變種,一個新二進制檔案包括一些少量的功能添加和更改,表明古巴仍然積極開發並優化其加密工具。目前古巴可在加密前,終止更多進程包括Outlook、MS Exchange 和 MySQL等,以防止這些應用程式防礙其加密的執行。其次,古巴已擴充其exclusion list,排除加密以下安全清單目錄和副檔名的檔案:

Photo Credit : Trend Micro

古巴的變種是否意味著該勒索軟體集團將接下來對企業發動更多的攻勢,值得我們繼續關注,此次之前,我國企業沒曾傳出遭古巴勒索攻擊的資安事件。

有關勒索軟體古巴的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

89288de628b402621007c7ebb289233e7568307fb12a33aac7e834504c17b4af

b14341b1ffe9e2730394b9066c6829b4e2f59a4234765ae2e97cfc6d4593730a

79d6b1b6b1ecb446b0f49772bf4da63fcec6f6bfc7c2e1f4924cb7acbb3b4f53

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

一個首次被發現的中國APT駭客組織,以亞太政治元素或色情檔案發動間諜活動,十年來悄悄監視東南亞和澳洲的目標

早在 2013 年,稱為Aoqin Dragon,一個以前沒被記錄過的中國APT駭客組織,與一系列針對東南亞和澳洲政府、教育和電信實體的間諜攻擊有關,根據 SentinelLabs報告,自從Aoqin Dragon首次被發現以來,已經採用了三種不同的攻擊鏈。

最早在2012 年至 2015 年間使用,涉及利用 CVE-2012-0158 和 CVE-2010-3333 等已知和未修補Microsoft Office文檔的漏洞發動網路釣魚攻擊。第二種攻擊方法是用假冒的McAfee 和 Bkav防毒圖標掩蓋惡意可執行文件,誘騙用戶啟動它們,並在他們的設備上起動惡意軟體的釋放程式。從 2018 年到現在,Aoqin Dragon已經轉向使用可拆卸設備快捷方式檔案(.LNK),點擊該檔案時,會執行DLL劫持技術並載入加密的後門payloads。該惡意軟體以“Evernote Tray Application”的名稱運行,並在系統啟動時執行。如果載入程式檢測到可拆卸設備,它還會複製payloads以感染目標網路上的其他設備。Aoqin Dragon 的攻擊鏈依靠亞太政治事務和以色情為主題的文件誘餌以及 USB 快捷方式來觸發後門的部署。

根據報告,Aoqin Dragon在攻擊時使用的誘餌文件
亞太政治誘餌文件

根據 SentinelLabs報告,已確認了駭客組織使用的兩個不同後門, 一個為 Mongall 和另一個為修改版的Heyoka Project。兩者都是注入內存、解密和執行的 DLL。

Mongall(“HJ-client.dll”)至少從 2013 年就開始使用,它被描述為一種“功能特別豐富”的植入程式,包含足夠的功能來建立遠端 shell 並上傳和下載任意檔案到來自攻擊者控制伺服器。最近的版本具有升級的加密協議和 Themida 打包軟體,旨在保護它免受逆向工程的影響。

另一個後門 Heyoka Project是一個開源滲透工具,它使用欺騙性的 DNS 請求來建立雙向通信隧道。在從受感染設備複製文件時使用Heyoka,以使用戶更難檢測到駭客的數據盜竊活動。

Aoqin Dragon已對 Heyoka 進行了修改,以建立支援以下命令的自定義後門:

*open a shell

*get host drive information

*search file function

*input data in an exit file

*create a file

*create a process

*get all process information in this host

*kill process

*create a folder

*delete file or folder

以下是最近觀察到 Aoqin Dragon的最新攻擊鏈:

  1. 製作一個可移磁碟快捷方式檔,其中包含啟動惡意軟體的特定路徑。
  2. 當使用者點擊假冒設備時,它會執行「EvernoteTray Application」,並使用DLL劫持載入惡意的encrashrep.dll載入程式作為資源管理器.exe。
  3. 執行載入程式後,它將檢查它是否在任何連接的可行動裝置中。
  4. 如果載入程式不在可移動磁盤中,它將複製“%USERPROFILE%\AppData\Roaming\EverNoteService”下的所有模組,其中包括普通檔,後門載入程式和加密的後門有效負載。
  5. 惡意軟體使用值為「EverNoteTrayUService」設置自動啟動功能。當使用者重新啟動電腦時,它將執行「Evernote Tray Appliacation」並使用DLL劫持來載入惡意載入程式。
  6. 載入程式將首先檢查檔路徑並解密有效負載。此攻擊鏈中有兩個有效負載:第一個有效負載是傳播器,它將所有惡意檔複製到可行動裝置;第二個是加密的後門,它將自身注入rundll32的記憶體中。

有關Aoqin Dragon的部分入侵指標(Indicator of compromise -IOCs):

SHA1
a96caf60c50e7c589fefc62d89c27e6ac60cdf2c
ccccf5e131abe74066b75e8a49c82373414f5d95
5408f6281aa32c02e17003e0118de82dfa82081e
a37bb5caa546bc4d58e264fe55e9e9155f36d9d8

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國聯邦機構:中國APT駭客利用常見漏洞,入侵電信公司,窺探網路流量,藉以竊取受害者數據

美國國家安全局 (NSA)、網路安全暨基礎安全局 (CISA) 和聯邦調查局 (FBI)在周二(6/7)發布了聯合網路安全諮詢報告,警告說中國APT駭客如何通過利用眾所周知的漏洞來鎖定和入侵電信公司和網路服務提供商,受影響的網路範圍從小型企業的路由器到任何中型和大型企業的網路設備。一旦入侵,駭客會將這些設備用作他們自己的攻擊基礎設施的一部分,作為C2伺服器和proxy系統,使他們可以用來破壞更多的網路。

根據安全諮詢報告,自2020年以來,中國一直在利用特定技術和常見漏洞在網路攻擊活動中發揮其優勢。利用這些漏洞,他們可以建立廣泛的基礎設施網路,以針對目標的政府部門和私人機構。

一旦在電信組織或網路服務提供商獲得切入點後,中國APT駭客會先確認關鍵用戶和基礎設施,如對維護身份驗證,授權和會計安全性至關重要的系統,然後攻擊者再竊取憑證以存取底層 SQL 數據庫,並使用 SQL 命令從關鍵的遠端驗證撥入使用者服務 (RADIUS)伺服器轉儲用戶和管理員憑證。

聯邦機構進一步說,憑藉來自受感染的 RADIUS 伺服器和路由器配置的有效帳戶和憑證,攻擊者利用他們的存取權限和技術成功驗證和執行路由器命令,偷偷地將流量路由,捕獲和滲透到攻擊者控制的網路基礎設施。

以下常見漏洞 (CVEs)是美國聯邦機構表示,自 2020 年以來中國APT駭客最常利用的網路設備漏洞:

通過利用這些漏洞,中國APT駭客建立了廣泛的基礎設施網路,幫助他們進一步更廣泛的入侵政府部門和私人機構。

NSA、CISA 和 FBI 還敦促美國和盟國政府、關鍵基礎設施和私營行業組織應用一系列緩解措施,以幫助降低類似攻擊破壞其網路的風險。聯邦機構建議組織​​盡快應用安全修補,禁用不必要的端口和協議以縮小其攻擊面,並更換不再接收安全修補的報廢網路基礎設施。他們還建議對網路進行分段以阻止橫向移動,並在互聯網公開服務上啟用強大的日誌記錄以盡快檢測攻擊嘗試。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

外媒報導鴻海旗下富士康墨西哥Foxconn BC,遭勒索軟體LockBit 2.0入侵

#官網張貼維護中的公告

根據資安新聞網站SecurityWeek的報導,操作勒索軟體LockBit 2.0的背後駭客聲稱入侵了富士康墨西哥的電腦系統,富士康墨西哥工廠Foxconn BC位於下加州Baja California(墨西哥最靠近北邊的州) 的最大城市提華納(Tijuana),Foxconn BC是致力於製造醫療設備和消費電子產品的大型製造業者,該工廠約有 5,000 名員工。

Photo Credit : SecurityWeek

直到目前,尚不清楚LockBit2.0勒索軟體的攻擊是否對該工廠運營科技 (OT) 系統產生任何影響,是否波及製造環境導致生產線關閉等問題。然而,據觀察,Foxconn BC的官網目前呈現維護中的畫面。

Foxconn BC的官網目前呈現維護中的畫面

據報導,駭客威脅除非收到贖金,否則將在 6 月 11 日發布所有取得的資料,但索要的贖金金額仍不得而知。據悉,外媒已經聯繫了Foxconn BC,但該公司尚未發表任何評論作出回應。此次之前,2020年11月底,位於墨西哥Ciudad Juárez, Chihuahua的富士康CTBG工廠亦曾遭勒索軟體Doppel Paymer加密,當時駭客宣稱竊取了100GB的檔案,而且加密了1,200臺伺服器,已刪除的20-30 TB備份,要求富士康CTBG工廠支付3,400萬美元的贖金。

勒索軟體LockBit2.0導致國內企業有不少災情:

2022年5月份,有四家台灣企業遭LockBit2.0勒索軟體的攻擊,當中包含台灣某背光模組大廠和其子公司–> https://blog.billows.com.tw/?p=1923

2022 年 4 月某一飲料原物料商–>https://blog.billows.com.tw/?p=1833

2021年10月某製造業成衣副料商–>https://blog.billows.com.tw/?p=1411

2021年11月上市營建公司日勝生及該集團旗下百貨京站也遭LockBit2.0攻擊

最近傳出LockBit2.0將升級成為LockBit3.0的版本,並將更名為LockBit Black,LockBit2.0被譽為當今最快加密的勒索軟體,它的升級是否會帶來更多的變化,值得我們持續關注。

有關LockBit2.0的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://45.32.108.54:443/c0000015.log

http://45.32.108.54:443/glib-2.0.dll

IPv4: 149.28.137.7

SHA 1:

e35a702db47cb11337f523933acd3bce2f60346d

729eb505c36c08860c4408db7be85d707bdcbf1b

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

1458421f0a4fe3acc72a1246b80336dc4138dd4b

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

哥斯達黎加社會保障基金被勒索軟體Hive入侵,公共衛生服務遭影響

2022 年 5月31日,哥斯達黎加政府證實其公共衛生服務網路上的所有電腦系統(稱為哥斯達黎加社會保障基金Costa Rican Social Security Fund-CCCS)在周二凌晨遭到Hive勒索軟體攻擊後斷網,正在對該事件進行調查。據稱,社會保障機構的1,500 台伺服器中至少有 30 台遭入侵,但恢復時間的仍然未知。

根據CCSS 負責人Álvaro Ramos向當地媒體發表講話,今天早上政府機構內的許多印表機開始大量印出Hive的勒索信。

Hive的勒索信,以基於ASCII的亂碼印出

CCSS表示正在進行分析以嘗試恢復關鍵服務,但無法確定它們何時投入使用。目前,預防性地關閉了所有系統。這次Hive的入侵事件是繼在4月底Conti 勒索軟體集團的攻擊之後,Conti的攻擊針對了多個哥斯達黎加政府機構,尤其是其財政部,該機構仍未恢復對其部分系統的控制權。Emsisoft勒索軟體分析師 Brett Callow 表示,Conti 和 Hive 是獨立的勒索軟體操作,然而最近一些分析師懷疑他們已經建立了某種合作關係。

一家公共衛生診所外張貼的手寫通知警告說,由於網路攻擊該國的醫療保健系統而導致系統中斷

根據哥斯達黎加網路安全諮詢公司ATTI Cyber​​ 的創始人Esteban Jimenez CCSS 遭受了網路攻擊,破壞了公共藥房的唯一數位醫療檔案(EDUS)和國家處方系統,因此醫療機構已經轉向用紙和筆手動應急,對於依賴公共衛生系統的哥斯達黎加人來說,造成無法在健康中心的藥房配藥,醫療行為被推遲直到系統恢復正常等。

針對拉丁美洲的勒索攻擊有激增的情況,根據Inter-American Development銀行最近的一份報告,許多拉丁美洲國家缺乏應對網路攻擊的威脅,在過去 90 天裡,巴西的 15 個政府、9 個阿根廷、6 個哥倫比亞、4 個厄瓜多爾和3 個智利的機構已被勒索軟體入侵。

有關Hive勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

Hive Tor Domain:

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Winlo.exe

MD5 b5045d802394f4560280a7404af69263

SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

File Path Observed C:\Windows\SysWOW64\winlo.exe

Description Drops 7zG.exe

7zG.exe

MD5 04FB3AE7F05C8BC333125972BA907398

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

勒索軟體集團LockBit又一次升級? 修補了MSSQL 數據庫的加密漏洞,將推出3.0的版本LockBit Black?!

Photo Credit: vx-underground

根據資安研究團隊vx-underground,勒索軟體集團LockBit命名其3.0版本為“Lockbit Black”,並修補了 MSSQL 數據庫的加密漏洞, LockBit最早於 2019 年 9 月以ABCD 勒索軟體開始運營,後更名為 LockBit並於 2021 年 6 月推出升級版本 LockBit 2.0。Lockbit 2.0勒索軟體引入了陰影複製和日誌檔案刪除等新功能,使受害者更難恢復。Lockbit在流行的勒索軟體集團中擁有最快的加密速度,在一分鐘內能加密了大約25,000檔案,此外,LockBit擁有的最迅速盜竊數據的神器StealBit,能在不到 20 分鐘內從受感染的系統迅速下載 100 GB 的數據。

然而,聯邦調查局(FBI)於2022年2月4日發佈了關於Lockbit 2.0的

入侵指標(IOC)的FBI Flash安全公告。在FBI的公告之後,暗網論壇中的一位用戶發佈了標題為“Kockbit fuckup thread” 的文章,表示發現了在Lockbit 2.0勒索軟體中的錯誤以及恢復受害者數據的方法,對應了FBI的建議以及微軟檢測和回應團隊(DART)對Lockbit的研究。微軟DART研究人員發現和利用在Lockbit 2.0勒索軟體中的錯誤,發現了一種方法,使他們能夠成功恢復Lockit受害者MSSQL資料庫上的加密過程。

Microsoft DART研究的連結:

https://techcommunity.microsoft.com/t5/security-compliance-and-identity/part-1-lockbit-2-0-ransomware-bugs-and-database-recovery/ba-p/3254354

https://techcommunity.microsoft.com/t5/security-compliance-and-identity/part-2-lockbit-2-0-ransomware-bugs-and-database-recovery/ba-p/3254421

一名Lockbit 勒索軟體成員針對文章發表了評論,解釋了 MSSQL 含錯誤(bug)的原因,該Lockbit成員還說Lockbit 3.0中不會存在該錯誤。

3 月 17 日,資安研究團隊 vx-underground發布了他們與 LockBit 的一位成員對話的截圖。在截圖中,vx-underground 研究人員詢問何時會發布 Lockbit 3.0,Lockbit 成員表示最新版本將在一兩週內發布。

然而,自 vx-underground 在Twitter上發布他們與 Lockbit 成員的對話以來已經幾週了,根據觀察勒索軟體集團仍在使用 Lockbit 2.0 的名稱,Lockbit 3.0 的其他新功能和升級仍然是個謎,竣盟科技將持續關注 Lockbit 3.0 的更新,為您帶來最新的消息。

有關LockBit2.0的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://45.32.108.54:443/c0000015.log

http://45.32.108.54:443/glib-2.0.dll

IPv4: 149.28.137.7

SHA 1:

e35a702db47cb11337f523933acd3bce2f60346d

729eb505c36c08860c4408db7be85d707bdcbf1b

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

1458421f0a4fe3acc72a1246b80336dc4138dd4b

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

印度廉航香料航空SpiceJet遭到勒索軟體攻擊,航班停飛,大批乘客滯留機場

綜合外媒報導,印度香料航空(SpiceJet airline)稱其 IT 基礎設施於24日晚上面臨了企圖的勒索軟體攻擊(Attempted ransomware attack),導致航班延誤,許多乘客滯留在機場。根據該航空公司於25日早上在Twitter的公告,表示某些香料航空系統在24日晚遭勒索軟體攻擊,影響並減慢了25日早上的航班起飛,但表示其 IT 團隊成功阻止了此次攻擊,因此現已恢復正常運行的狀態。

然而,直到當地時間中午過後仍起飛延誤和航班取消,使旅客抱怨連連,據報導,許多人在登機後被困在飛機上數小時,被告知由於系統問題,航班無法起飛,多個乘客在Twitter 和 Facebook 上抱怨,反映了持續存在的航班延誤,無法通過電話進行客戶服務,預訂系統仍然不可用等問題

乘客在Twitter上抱怨

香料航空於25日傍晚發布了更新,稱雖然他們的 IT 團隊在很大程度上控制和糾正了這種情況,但這對我們的航班產生了連鎖反應,導致延誤,並補充說一些飛往限制夜間運營的機場的航班已被取消,因此香料航空正在就此問題與專家和當局保持聯繫。

根據BleepingComputer報導,香料航空網站的主頁(homepage)雖然可運作,然而大多數底層系統和網頁都無法載入。根據公開數據,香料航空是印度第二大航空公司,運營著由 102 架飛機組成的機隊,服務60多個目的地,當地市場佔有率約15%,並擁有超過 14,000 名員工。因此影響其運營的勒索攻擊會影響大量的印度和國際乘客,而這些長時間的延誤會轉化為重大的經濟損失。

香料航空過去曾面臨過網路安全問題,據TechCrunch 報導,2020 年 2 月,一名美國安全研究員暴力破解了香料航空系統,並獲得了一個未加密的數據庫備份檔案,該檔案包含超過 120 萬乘客的個資。據報導,研究人員向印度電腦緊急應變小組(Computer Emergency Response Team India , CERT-In) 通報,CERT-In確認了安全漏洞並將警報發布給香料航空,然而該航空公司拒絕證實 CERT-In 的調查結果。

航空公司經常成為駭客的熱門目標,在最近的一次攻擊中,發現一個伊朗國家級APT駭客組織濫用 Slack的 API,在一家亞洲航空公司的系統中部署後門,竊取航空公司數據。另外,勒索軟體LockBit2.0也曾在2021年8月攻擊了泰國的曼谷航空,導致乘客的個人識別資訊(PII)遭外洩, 200多GB的數據被公開。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

國際刑警組織(Interpol)警告說,軍用的網路武器將在暗網上出現!

Key Points:

*國際刑警組織秘書長Jurgen Stock表示,他擔心由國家開發的惡意軟體很快成為暗網上的商品,並估計這一進程難以逆轉。

*長期以來,網路戰爭一直是全球各國政府關注的話題,但在俄羅斯與烏克蘭的戰爭中,它又得到了新的聚焦。

*根據世界經濟論壇的《全球網路安全展望》報告,2021年全球網路攻擊的數量增加了一倍以上。

在科技持續發展、戰略不斷變化的時代,網路世界越來越重要,網路已經成為現代戰爭的新武器。最近在俄羅斯和烏克蘭之間持續的衝突中,由國家級駭客和非國家級駭客開發的惡意軟體對全球關鍵基礎設施和組織構成嚴重風險。週一(5月23日)國際刑警組織秘書長Jurgen Stock在瑞士Davos舉行的世界經濟論壇上表示,他擔心由國家開發的惡意軟體很快成為暗網上的商品,他解釋說,這已經成為現實世界中的一大主要問題——戰場上使用的武器逐漸落入有組織的犯罪集團手中,同樣地,數位武器也不例外,也許當前由軍方開發並使用,但明天將會被惡意駭客所利用。

Stock指出在俄羅斯入侵烏克蘭後的最初幾個月裡,資安公司觀察到針對烏克蘭政府實體和組織的多次襲擊。與俄羅斯有關的APT駭客組織使用資料破壞軟體wipers摧毀目標系統。本月初,歐盟譴責俄羅斯 於 2 月 24 日對由衛星通訊業者 Viasat 運營的烏克蘭KA-SAT衛星網路發起網路攻擊,企圖癱瘓烏克蘭國內的通訊,以利俄羅斯軍隊的攻擊,這次攻擊導致烏克蘭的通訊中斷,還影響了幾個歐盟成員國。由於這次襲擊的溢出效應,德國的5800台Enercon風力渦輪機無法存取。SentinelLabs的安全研究人員調查了這次攻擊,發現了一個以前未被發現的破壞性刪除程式,被跟蹤為AcidRain,移除了KA-SAT數據機及路由器中的所有資料,造成KA-SAT衛星網路服務失效。

Stock呼籲商界領袖加強與政府及執法部門的合作,以防止國家級惡意軟體在暗網上擴散,確保更行之有效地監管網路犯罪。

他表示,“一方面,我們需要把握當前態勢;而另一方面,我們需要私營機構數據的支持。我們需要企業的網路入侵報告。沒有這些報告,我們將無法看到威脅形勢。”然而Stock說,目前大量的網路攻擊未被上報。

根據世界經濟論壇全球網路安全展望報告(World Economic Forum’s Global Cybersecurity Outlook report),2021年全球網路攻擊數量增加了一倍以上。報告稱,勒索軟體仍是當下最流行攻擊類型,各受訪組織每年平均被攻擊270次。

參與討論的企業高管和政府官員表示,網路安全事件正在令關鍵的能源基礎設施和供應鏈面臨風險。工控系統(ICS)安全公司Dragos聯合創始人兼CEO Robert Lee也敦促企業關注現實世界威脅的場景,比如2015年由俄羅斯APT駭客組織Sandworm對烏克蘭電網攻擊,今年4月烏克蘭已經成功抵擋住俄駭客企圖破壞電網的攻擊等,而非一味假設風險場景。

Lee總結道,我們的問題用不著Next gen AI、區塊鍊或者其他技術來解決。我們的問題在於,很多已經投資並開發完成的成果仍未得到實際的應用。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

QNAP威聯通NAS設備第三次遭到 DeadBolt 勒索軟體攻擊

Deadbolt勒索軟體鎖定使用 QTS 4.3.6 和 QTS 4.4.1 的 QNAP NAS 設備,QNAP呼籲所有 NAS 用戶儘速檢查並更新 QTS 至最新版本,並避免將 NAS 暴露於互聯網上。

台灣網路附加存儲 (NAS) 設備製造商 QNAP 週四(5/19),證實正在對新一波DeadBolt的攻擊進行調查,據其產品安全事件回應團隊稱,此次攻擊鎖定使用 QTS 4.3.6 與 QTS 4.4.1 的 NAS 設備,受影響機型以 TS-x51 系列及 TS-x53 系列為主。QNAP 呼籲所有 NAS 用戶儘速檢查並更新 QTS 至最新版本,並避免將 NAS 暴露於互聯網上。

這一事件標誌著 QNAP 設備自今年年初以來第三次受到DeadBolt 勒索軟體的攻擊。今年1 月QNAP警告用戶,名為 DeadBolt的一種新勒索軟體利用所謂零時差漏洞廣泛針對其NAS設備。DeadBolt在對QNAP設備的持續攻擊中加密用戶數據並需支付比特幣解密,使多達 4,988 台受DeadBolt 勒索軟體攻擊的 QNAP 設備被發現,促使該公司發布了強制韌體更新,3 月中旬觀察到Deadbolt第二次攻擊的新案例,發現超過 1,000 台 QNAP QTS 設備已被 DeadBolt 勒索軟體感染。

由於QNAP在公告中沒有提及任何漏洞利用(CVE),目前尚不清楚 DeadBolt 勒索軟體攻擊者是否正在利用特定漏洞。QNAP也沒有透露有關最近發現多少台設備遭攻擊,但表示他們沒有看到任何涉及已更新的系統遭 Deadbolt感染。 Palo Alto Networks的Unit 42 週一在 Twitter 上表示,觀察到最新一波的 DeadBolt 攻擊QNAP NAS 設備是從 5 月 13 日開始的,發現了大約 3000 個受感染設備。

QNAP 設備的最新攻擊突出了一個持續修補的重要性,如果仍然存在許多暴露的實例,這代表了在最新攻擊之後更新的緊迫性。

美國和其他政府機構最近發布的聯合網路安全諮詢警告企業,最常見的錯誤和安全弱點使攻擊者能夠獲得內部網路的初始存取權限,這包括暴露在公共互聯網上的配置錯誤的服務,以及開放的端口和過時的軟體。

QNAP 建議用戶關閉Port Forwarding功能以停止將 NAS 設備暴露在互聯網上。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”