德國科技巨頭Software AG的服務台和內部通訊系統遭到Clop勒索軟體攻擊破壞之後,被勒索有史以來最龐大的贖金2,300萬美元!

上週六,Clop勒索軟體背後的駭客團隊攻擊了德國企業軟體巨頭Software AG的網路,在竊取員工個資和公司檔案後,要求約2300萬美元的贖金,攻擊者在暗網上發布了公司數據的螢幕截圖,顯示了來自公司內部網路的員工護照和ID掃描,員工電子郵件,財務文件和目錄等。

公司週一發布的新聞稿說10月5日:“自2020年10月3日晚上以來,Software AG的IT基礎結構受到惡意軟體攻擊的影響。”

Software AG還表示,勒索軟體攻擊僅影響其內部網路,而客戶雲端服務不受影響。

“為客戶提供的服務(包括基於雲端的服務)不會受到影響,Software AG已根據公司的內部安全法規以受控方式關閉了內部系統,”該軟體巨頭補充道。

“公司正在恢復其系統和數據,以恢復有序的運營。” Software AG補充說,但其內部通信和技術支援服務仍受此攻擊影響。

星期四發布的新聞稿中(10月8日),Software AG說,它“獲得了第一筆證據證實數據是從Software AG的伺服器和員工筆記型電腦下載的。”

根據對MalwareHunterTeam的分析,Clop的背後駭客竊取了Software AG約1 TB數據。以下圖片為從Clop勒索軟體駭客組織發送到Software AG的勒索信。

自2019年以來,該駭客組織以企業為目標。其主要目標是美國,歐洲(尤其是德國),印度,俄羅斯,墨西哥和土耳其的公司。以下是Clop勒索軟體受害者的列表:

INRIX

Polyvlies

IndiaBulls

Hoedlmayr

ExecuPharm

NETZSCH Group

Maastricht University

PlanatolPlanatol ProMinent

GmbH

Recreativos Franco

MVTec Software GmbH

NFT Distribution Holdings Ltd

Prettl Produktions Holding GmbH

IHI Charging Systems International

Technische Werke Ludwigshafen AG(TWL)

Clop勒索軟體的Tor支付站上顯示Software AG贖金為23,000,000美元(或2083,0069比特幣)Software AG的贖金要求是有史以來勒索軟體攻擊中最龐大的贖金。

Software AG是全球領先的軟體公司之一,在70個國家/地區擁有10,000多家企業客戶,包括DHL,Vodafone,Airbus,Fujistu和Telefonica等等。該公司的產品包括業務基礎架構軟體,如企業服務總線(ESB)框架,數據庫系統,業務流程管理系統(BPMS)和軟體體系結構(SOA)等。

Clop勒索軟體的相關情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42

*****竣盟科技快報歡迎轉載,但請註明出處

聯合國國際海事組織( International Maritime Organization)表示遭到破壞其IT系統的網路攻擊。

攻擊發生在上週,該機構已經採取了“強大的安全措施”來保護IT系統

聯合國國際海事組織(IMO)是國際航運安全,安保和環境性能的全球標準制定機構,聯合國海事組織制定的監管框架,在全球內採用,以確保運輸的安全和保障以及防止船舶造成海洋和大氣污染。

據該機構稱,第一次網路攻擊導致IMO網站和其他Web服務在9月30日斷網,IMO最初將問題歸因於技術問題,但在10月1日,IMO透露問題的真正原因是網路攻擊。

IMO在新聞稿稱,電子郵件系統,其虛擬會議平台以及其他內部和外部協作平台均未受影響,受影響的系統如IMO網站,在10月2日(星期五)恢復。

該機構說:“ IMO總部的檔案伺服器位於英國,在日內瓦擁有大量的備份系統,備份和還原系統都有定期測試。”

新聞稿中說:“在攻擊之後,秘書處關閉了關鍵系統,以防止受到攻擊的進一步破壞。秘書處並與國際資安專家合作,以盡快恢復系統,確定攻擊源,並進一步增強安全系統,以防止再受到攻擊。” 但IMO沒有分享有關攻擊的技術細節,目前也尚不清楚IMO是否受到勒索軟體攻擊。

另外在9月底,法國海上運輸和物流巨頭CMA CGM SA透露,它是Ragnar Locker惡意軟體攻擊的受害者,該惡意軟體攻擊影響了其網路上的某些伺服器。

*****竣盟科技快報歡迎轉載,但請註明出處

美國網路安全和基礎設施安全局(CISA)週二發布了有關Emotet木馬明顯增加的警報Alert (AA20-280A),表示Emotet攻擊活動 自7月份以來針對美國多個州和地方政府大幅度增加並稱Emotet惡意軟體已成為“最普遍的持續威脅之一”

Emotet是一種常見的銀行木馬,最近廣泛被用作竊取憑證,被視為勒索軟體攻擊的先兆並在近年來已發展成為一個殭屍網路,TA542駭客組織使用該殭屍網路在受感染的設備上傳送第二階段惡意軟體的payloads。

Emotet木馬將在受感染的電腦下載並安裝其他惡意軟體,如TrickBot和QakBot。 眾所周知,這些木馬會引起Ryuk,Conti和ProLock的勒索軟體駭客組織所攻擊及利用。

根據在週二發布的警報: CISA和MS-ISAC(多州資料共享與分析中心)收集到的資料,Emotet自2020年7月以來復活,

另美國國土安全部(DHS)解釋說,在此期間,“ CISA觀察到Emotet在針對性的攻擊活動中分階段性執行。

自8月以來,CISA和MS-ISAC 發現“利用Emotet網路釣魚電子郵件,針對州和地方政府的惡意網路參與者的數量已大大增加”。CISA補充說:“這種增加使Emotet成為最普遍的持續威脅之一。”

Emotet的廣泛使用是結合了許多技巧的結果,其中包括:

*能夠傳播到附近的Wi-Fi網路

*多型(polymorphic),意味著它不斷地改變其可識別的特徵,使其很難被檢測為惡意。

*無檔案感染(例如Powershell腳本)使感染後的檢測變得困難

*蠕蟲般的功能,它們竊取管理密碼並使用它們在整個網路中傳播

*電子郵件線程劫持Email thread hijacking”是指它從一台被感染的電腦上竊取電子郵件鏈,並使用欺騙性的身份來回應,欺騙線程中的其他人打開惡意文件或點擊惡意連結。

Emotet傳播鏈

在2020年7月開始,CISA注意到Emotet的活動有所增加,其EINSTEIN入侵檢測系統可保護聯邦,民用行政部門網路已檢測到約16,000個相關警報。

為了保護網路和設備免受Emotet攻擊,CISA和MS-ISAC建議管理員和用戶在打開可疑附件時,要謹慎並使用防病毒軟體和阻止可疑IP。

Source: https://us-cert.cisa.gov/ncas/alerts/aa20-280a

*****竣盟科技快報歡迎轉載,但請註明出處

SunCrypt勒索軟體的背後駭客在其勒索武器庫中添加了DDoS攻擊

勒索軟體已開始使用另一種手段來勒索受害者:DDoS攻擊受害者的網站,直到受害企業回應,並進行協商為止。

根據研究人員發現,在最近勒索軟體攻擊的談判陷入僵局後,SunCrypt勒索軟體的背後駭客DDoS了受害者的網站。

當受害者重新登錄勒索軟體的Tor付款網站時,他們收到一條消息,表示SunCrypt發動了DDoS攻擊,如果不進行談判,攻擊將繼續下去。

SunCrypt勒索軟體的駭客警告受害者:“由於我們技術人員的努力,目前您的網站已被關閉。請盡快向我們發送訊息,否則我們將採取進一步行動。”

當受害者詢問為什麼要DDoS攻擊並使其網站關閉時,SunCrypt則表示是要迫受害者進行談判。

駭客說:“我們在談判的整個過程中,您沒有露面,所以採取了進一步的行動。”

SunCrypt告訴受害者他們正在DDoS攻擊其網站,來源BleepingComputer

在受害者再次開始談判之後,SunCrypt同意讓技術人員暫停DDoS攻擊

研究人員相信這種策略對小型企業的受害者特別有效,最終導致受害人支付贖金。通過結合竊取數據,威脅洩露數據,無法訪問已加密的檔案以及現在添加的DDoS攻擊,小型企業的營運會受到極大的影響而停運。

研究人員表示,這是SunCrypt勒索軟體的駭客更新其策略以增加對受害者的施壓的示範,目的是在使受害企業除了支付贖金外別無選擇。

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載,但請註明出處

快快檢測您的企業網域名或電子郵件是否已成為Emotet木馬程式的受害者! 新的免費檢測服務”Have I Been EMOTET”已啓用了!


Emotet是一種惡意軟體病毒,它通過包含惡意Word或Excel文檔的垃圾郵件傳播, 在打開並啟用macros後,可在受害者的電腦上安裝Emotet木馬。感染後,Emotet將竊取受害者的電子郵件,並在攻擊者的控制下將其發送回伺服器。這些電子郵件將被用作將來的垃圾郵件活動的一部分,以使惡意垃圾郵件看起來更真實。

Emotet木馬將在受感染的電腦下載並安裝其他惡意軟體,如TrickBot和QakBot。 眾所周知,這些木馬會引起Ryuk,Conti和ProLock的勒索軟體駭客組織所攻擊及利用。

現在有一項最新的資安服務,名為“ Have I Been EMOTET”,可讓您輸入電子郵件地址並檢查是否:

*已收到Emotet電子郵件

*電子郵件被盜並用於Emotet垃圾郵件 

*或者有電腦可能感染了Emotet

網站名稱: Have I Been EMOTET

網址連結: https://www.haveibeenemotet.com/


Have I Been EMOTET由意大利TG Soft資安公司開發,TG Soft公司自2020年8月至9月23日之間已經監測並分析了70萬以上的Emotet外發電子郵件,並收集了超過210萬個電子郵件地址。竣盟科技使用了Have I been EMOTET 的網站來檢測並發現不少台灣企業已成為emotet的受害者。

如果您的網域名或email沒有與emotet有關聯或受感染, 結果的顯示會是綠色的,反之結果則顯示紅色,紅字的說明及解釋如下:

REAL SENDER:表示使用此電子郵件帳戶的電腦已被盜用,並已用於發送垃圾郵件。

FAKE SENDER:表示您的郵件被盜並用於垃圾郵件活動。

RECIPIENT :表示您是Emotet垃圾郵件的收件人。

另提供示範檢測的結果供對比, 如下圖: 

#竣盟科技關心您

#情資才是王道

有關Emotet的相關情資, 盡在竣盟科技代理的AlienVault OTX情資平台上:

https://otx.alienvault.com/pulse/5f484a8b7258dd001feb992f

https://otx.alienvault.com/pulse/5f4d42ac67920e64f5ed30c5

*****竣盟科技快報歡迎轉載,但請註明出處

不安的週一,美國警方報告多個州的911緊急電話服務中斷! Microsoft 365服務同時也嚴重中斷!

重點:

*全美多個縣市執法機構週一(美國東部時間)晚上約7點報告了其911系統的故障

*同時,Microsoft報告了其365雲端服務的嚴重中斷;目前尚不清楚兩者是否有關連

*許多受影響的部門在一個小時的時間內恢復緊急電話服務

美國警方部門在亞利桑那州,加州,科羅拉多州,特拉華州,佛羅里達州,伊利諾伊州,印第安納州,明尼蘇達州,內華達州,北卡羅來納州,北達科他州,俄亥俄州,賓夕法尼亞州和華盛頓州等等的縣市回報緊急電話癱瘓的問題,警方同時敦促人們在遇到緊急情況時撥打當地警局電話。

此後,許多系統在一個小時內復原,但是某些地區的警方仍要求人們使用當地警局電話號碼而不是911,以避免使系統過度使用。

據NBC稱,與此同時,Microsoft發生了重大系統故障,Microsoft表示,包括Outlook,Office 365和Microsoft Teams在內的某些Microsoft服務在星期一經歷了數小時的停機,但是對於大多數用戶來說,目前已恢復。

“通過我們的監控,我們已經確認大多數客戶已經恢復了大多數服務,”微軟Office狀態頁上的一條通知寫道。“但是,我們繼續看到一小部位於北美地區的客戶,他們仍然受到影響。我們現在正在為仍然受到影響的客戶調查,實施緩解措施。”

911緊急電話服務中斷發生的時間與全美多家Universal Health Services(UHS)醫院系統癱瘓的時間很接近,因此在網路上引起了巨大的關注,許多網民把兩者連接在一起,但目前没證據支持此說法。

*****竣盟科技快報歡迎轉載,但請註明出處。

Ryuk勒索軟體入侵上市醫院集團Universal Health Service(UHS) , 影響了網路系統, 網傳已有四名病患間接受影響而死亡。

UHS在美國和英國經營著400多家醫院。自周日以來,一些美國醫院系統受影響而斷網。UHS工作人員表示,由於電腦系統出現故障,他們不得不使用筆和紙。

重點:

*美國和英國的主要連鎖醫院Universal Health Services(UHS)表示,其電腦網路因“安全問題Security issue”而斷網

*《財富Fortune》500強公司之一,UHS擁有400家醫院和診所,擁有90,000名員工

*UHS表示正在使用備份來嘗試還原網路

*美國的UHS醫院(包括加州,佛羅里達,德州,亞利桑那州和華盛頓特區的醫院)無法使用電腦和電話系統

*UHS說似乎沒有患者,員工數據被訪問,複製或以其他方式洩露

*該公司的網站說,UHS每年治療350萬患者

UHS的聲明

據員工和患者稱,自周日上午以來,UHS醫院一直在沒有內部IT系統的情況下運營。由於UHS實驗室的設施無法正常運作,一些患者被拒之門外,緊急情況的患者已轉移到其他醫院。

一位知情人士說,電腦螢幕出現了“影子宇宙shadow universe”的字樣,另一名員工告訴外媒BleepingComputer,檔案被新重命名為包括.ryk副檔名,與Ryuk勒索軟體特徵一致。知情人士也說:“每個人都被告知要關閉所有電腦,不要再次打開它們。”“我們被告知要幾天後才能再次啟動電腦。”

根據資安專家Vitali Kremez,他們在2020年以及最近的9月都檢測到有影響UHS Inc.的Emotet和TrickBot木馬。

該Emotet木馬通過網路釣魚包安裝在受害者的電腦上並隨電子郵件的惡意附件散播。一段時間後,Emotet還會安裝TrickBot, 在從受感染的網路中收集敏感資料後,再為Ryuk打開reverse shell。一旦Ryuk訪問網路,他們便會開始偵察,在獲得管理員憑證後,便使用PSExec或PowerShell Empire在網路設備上部署勒索軟體的payloads。

此資安事件影響了UHS設施後,還傳出等待實驗室結果中有四名病人死亡。

上週德國一名婦女因勒索軟體攻擊而轉移到另一家醫院死亡後,德國警方發起了兇殺案調查。

Ryuk勒索軟體的相關情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5e8369d35fd7d069d77f06ea

https://otx.alienvault.com/pulse/5e7cc5274bea708f20593bec

來源參考: https://www.bleepingcomputer.com/news/security/uhs-hospitals-hit-by-reported-country-wide-ryuk-ransomware-attack/

https://www.nbcnews.com/tech/security/cyberattack-hits-major-u-s-hospital-system-n1241254

耐人尋味的調查報告-美國CISA公佈聯盟機構受駭,列出駭客攻擊的步驟, 但未透露駭客組織


一份耐人尋味的調查報告

-沒有指出攻擊的駭客

-沒有指出日期(時間軸)

-沒有將攻擊歸因或連結到任何組織

美國網路和基礎設施安全局(CISA)在週四表示, 有駭客滲透進聯盟機構(Federal agency)取得權限並竊取了數據, 針對這起資安事件, CISA發佈了一份名為”in-depth incident response(IR)report的報告。

內容揭示了駭客通過不同的渠道取得聯邦機構內部網路的權限,如利用被入侵的Microsoft Office 365的憑證, 網域管理員帳戶以及該機構的Pulse Secure VPN伺服器上的憑證。CISA說攻擊者由Office 365登入,瀏覽並下載help desk有”內網存取”和”VPN 密碼”為主題的email附件,攻擊者還存取了該機構的本地AD並修改了設定和研究了該機構內部網路結構。

由於駭客裝置了SSH tunnel和反向SOCKS的proxy 的客制化軟體, 使其能快速往返聯邦機構的網路, 並將他們控制的硬碟以遠端共享的方式連接到該機構的網路。

CISA分析師說: 在共享硬碟的檔案可讓駭客留下更少的證據, 讓鑑識分析更艱難, 另外,攻擊者在機構的網路內建立了本地帳號, 並使用該帳號執行powershell命令, 收集重要檔案並壓縮成zip檔, CISA表示, 不能證實駭客是否有把zip檔取走, 但相信這是有可能的。


附圖為此次攻擊活動們入侵指標, 如欲了解更多關CISA公佈的駭客入侵聯邦機構的內容, 請參考此報告:


https://us-cert.cisa.gov/ncas/analysis-reports/ar20-268a

有關駭客入侵聯邦機構的相關情資, 盡在竣盟科技代理的AlienVault OTX情資平台上:

https://otx.alienvault.com/pulse/5f6d08b2d10722175748a71e

Ray-Ban雷朋眼鏡母公司Luxottia,全球最大的眼鏡製造商和眼睛保健巨擘,傳出遭網路攻擊,產線停擺!





據意大利媒體報導,Luxottia旗下的Ray-Ban ,LenCrafters, EyeMed,Pearle Vision等網站於意大利時間上週五晚上,無法正常運作, 此外也被發現Luxottia的入口網站one.luxotrica.com和university.luxottica.com也顯示網站維護中的消息。

9月22日,意大利媒體報導稱,Luxottica工廠於意大利Belluno地區的Agordo與Sedico 的IT系統故障,停頓了Belluno地區工廠整天的工作。據Ansa報導,由於 “電腦系統故障”,Agordo和Sedico的生產和物流工廠於昨天早晨關閉。在昨天進行第二次輪班之後,員工透過簡訊被告知,由於系統無法運作,所以在晚上公司決定取消夜班。

工會消息人士後來向意大利媒體Ansa證實,由於“嚴重的IT問題,系統無法運作,這些員工被告知,不用去上班。

另外,資安公司Bad Packets稱Luxottica的Citrix ADC是存有Citrix設備中嚴重的 CVE-2019-19781漏洞。此漏洞在勒索軟體駭客中廣泛使用,利用此漏洞將提供駭客對網路的訪問權限和憑證,可用於透過網路進一步傳播。

儘管沒有關於這些系統中斷的官方聲明,但據媒體報導稱,Luxottica遭受了網路攻擊,而勒索軟體正是罪魁禍首,目前沒有更多資訊關於是哪一支勒索軟體所為。

註:Luxottica是全球最大的眼鏡公司,擁有超過80,000名員工,2019年創造了94億美元的收入,眼鏡品牌包含知名品牌,包括雷朋,Ferrari, Michael Kors, Bulgari寶格麗, Armani, Prada普拉達, Chanel香奈兒 和Coach等

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載,但請註明出處

日本工業機器人大廠安川電機Yaskawa Electric Corporation被爆遭Lockbit加密, 導致生產線停頓

Yaskawa Electric Corporation成立於1915年,是專注於運動控制,機器人自動化和系統工程的核心技術提供商,據日本媒體報導8月19日,安川電機在中國瀋陽當地子公司的當地員工打開了帶有病毒的郵件,致使個人電腦被勒索軟體破壞,生產控制所需的檔案由於被加密而無法使用,導致工廠生產線被暫停了一整天,據稱在日本方面沒有造成損害。

  根據Gemini Advisory研究人員的調查,進入9月14日,LockBit背後的駭客團隊在一個講俄語的暗網路論壇上發布帶有他們新建立的揭秘網站的廣告,在LockBit成立的網站中,第一篇文章是來自Yaskawa Electric Corporation(日本安川電機)和Overseas Express運輸公司被盜的數據,LockBit背後的駭客發布兩家公司的數據作為威脅,勒索軟體團隊使用暗網和他們自己的揭秘網站來恐嚇受害者支付贖金。除了恐嚇目前的受害者外,這種策略還可以警告未來的受害者,向他們展示不支付贖金的後果。

研究人員說,安川電機被盜的數據包括個資,購買記錄,銀行帳戶和技術產品的資料,以及其他內部檔案。

值得一提的是,LockBit是Maze Cartel(迷宮敲詐勒索聯盟)的成員之一, 此聯盟於2020年6月份成立, 成員包含Maze, Ragnar Locker 和LockBit, 後於8月份SunCrypt勒索軟體也成為該聯盟會員。據相信Maze Cartel 的成立宗旨為 ,交流技術,策略,經驗等,目的在於提高攻擊和勒索效率, 勒索軟體之間的互惠互利的合作模式值得我們持續的關注。

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載,但請註明出處