RansomHouse聲稱從美國晶片巨頭AMD竊得450GB 數據,AMD表示目前正在著手調查

昨天,一個相對較新的勒索組織RansomHouse,聲稱入侵了 Advanced Micro Devices (AMD )並竊取了約 450GB 數據,該組織還發布了一個數據樣本作為證據。

根據Restore Privacy, RansomHouse發布的數據包括網路檔案、系統資料以及 AMD 的密碼。以下是 RansomHouse在其暗網網站上發布樣本的目錄:

Photo : Restore Privacy

目前AMD對這一說法的回應是,知道有一名不法分子聲稱擁有來自 AMD 的被盜數據,目前正在進行調查。

“簡單的密碼” 是數據外洩的原因?!

RansomHouse的暗網網站上AMD頁面

根據 RansomHouse 的說法,AMD使用簡單、好猜的密碼,例如“password”、“[email protected]“amd!23”和“Welcome1”等來保護其網路。有趣的是,根據 RansomHouse向 BleepingComputer透露,其合作夥伴大約在一年前入侵了 AMD 的網路,RansomHouse進一步說, Data Leaked的日期2022 年 1 月 5 日,實際上是他們無法存取AMD網路的日期。另外,資訊科技網站Tom’s Hardware報導,此次AMD數據外洩事件,可能與之前技嘉遭RansomExx入侵其供應商及合作夥伴的資料外洩事件有關,推測RansomExx 勒索軟體與RansomHouse有關聯。

目前RansomHouse沒有聯繫 AMD 索要贖金,因為該勒索組織認為直接將資料出售給其他實體或駭客,可比等待AMD做出回應更有價值。

RansomHouse於2021年12月開始運營,該組織聲稱加拿大薩斯喀徹溫省酒類與賭博管理局(SLGA)是其第一個受害者,其後也陸續出現如非洲最大的連鎖超市Shoprite等的受害者,但目前RansomHouse只有6名受害者,如下圖所示:

與其他傳統的勒索軟體組織相比,RansomHouse 實際上並未聲稱自己是“勒索軟體”組織,他們的攻擊並不包含加密受害者系統上的檔案,而只是入侵受害組織並竊取機密資料,並再向受害者勒索。RansomHouse在其暗網”關於”即About頁面上將自己描述為專業調解員。

勒索軟體集團LockBit打著“讓勒索軟體再次偉大”的口號,正式推出新版LockBit3.0,並啟動漏洞賞金計劃

LockBit打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號,推出3.0新版

竣盟科技的觀察,LockBit勒索軟體集團已在上週日(6/26)推出了其惡意軟體的3.0 版本,LockBit自2019年9月開始運營以後來,發展成為最多產的勒索軟體之一,在Conti 勒索軟體關閉其運營後,2022年5月LockBit正式成為佔主導地位的勒索軟體,其攻擊佔勒索市場的 40%。

LockBit還啟動了一個漏洞賞金計劃(Bug Bounty Program),號召旗下成員(Affiliate)或全球的駭客菁英加入新擴展的漏洞賞金計畫,找出有關其加密程式碼漏洞、公共基礎設施漏洞或其他勒索軟體組織成員和幕後老闆的 PII 數據的資料。

LockBit在其揭秘網站LockBit3.0 Leak Data上表示,我們邀請地球上所有安全研究人員、道德和不道德的駭客參與我們的漏洞賞金計劃,報酬金額從 1000 美元到 100 萬美元不等。

Bug Bounty的介紹
Bug Bounty的介紹

自LockBit 3.0推出以來已經有受害者,分別是兩家美國公司Metro Appliance& More和Longseal flooring,為了讓受害者付贖金,LockBit還帶來新的敲詐技倆,任何人可以在受害者頁面,以LockBit提供的售價購買以下選項:

1. 延長談判時間( 24小時)

2銷毀從受害公司竊取到的所有資料。

3. .隨時下載從受害公司竊取到的所有資料。

選擇綠色按鈕,可以延長24小時,銷毀所有資料或下載所有資料

值得一提的是,這意味著LockBit受害公司的競爭對手可能會買下資料或直接銷毀資料,LockBit無疑將敲詐、威嚇的技倆,帶到另一個層次!

另外, LockBit新增加了一個How to buy Bitcoin頁面,教受害者如何使用不同的方式購買比特幣。

LockBit接受的加密貨幣: 門羅幣,比特幣和新增的隱私幣Zcash

據了解,LockBit還在準備大量新的備份站點,以提高其基礎架構的彈性。

備份站點包含: LockBit揭秘網站,帶備份的伺服器和與受害者通訊的聊天室

LockBit勒索軟體集團的經營已經達到了一定程度的成熟度,該集團如同在經營的正規企業般的策略,是當今的勒索軟體市場鮮有的。

供應鏈攻擊又添一樁,證實汽車軟管製造廠商Nichirin遭勒索軟體攻擊,自動生產控制停罷

總部位於日本的汽車軟管製造商 Nichirin(株式會社日輪)週三(6/22)表示,其美國子公司Nichirin -Flex USA 在2022年6月14日遭勒索軟體攻擊,該公司在檢測到其網路上的未經授權存取並將操作切換到手動模式後立即做出反應,中斷了其電腦化生產控制,必須手動完成訂單,影響了產品分配及出貨。

勒索軟體攻擊說明了供應鏈安全在所有行業和部門中的重要性日益增加,在沒有日輪汽車零部件的情況下,可引起其他在供應鏈的企業無法完成訂單並滿足消費者的需求。

根據歐盟網路安全局 (European Union Agency for Cybersecurity-ENISA) 的數據,66%的供應鏈攻擊集中在供應商的程式碼上,其次是智慧財產權、個人識別資訊 (PPI)、內部流程圖和緊迫的生產時間線等,尤其吸引那些有經濟動機的駭客。

Nichirin在新聞稿中表示,承諾調查此次攻擊對合作夥伴和客戶的影響,並承諾及時披露任何必要的資訊。Nichirin 也在其官網上請求客戶提高警覺,留意聲稱與Nichirin有關的電子郵件,呼籲電郵收件人不要打開附件。

勒索軟體對汽車行業來說是一個日益嚴峻的挑戰,2021 年 2 月,起亞汽車(Kia)美國公司遭DoppelPaymer加密,關鍵性IT被破壞,網路廣泛性斷線,影響其UVO link的行動應用程式,支付系統,電話服務及口網站等的運作; 2021 年 12 月Volvo富豪汽車疑遭Snatch勒索軟體加密; 2022 年 3 月 日本汽車零件大廠電裝公司(Denso) 遭潘朵拉勒索軟體攻擊;同月為美國生產汽車剎車管和燃油管的三桜工業遭Conti勒索軟體毒手,現代派沃特(Hyundai Powertech) 也遭Cuba勒索軟體入侵等,可見勒索軟體對瞄準汽車生產中必不可少的零部件供應商表現出越來越大的興趣。

最好的進攻是良好的防守,在管理供應鏈也是如此。在製定管理供應鏈中斷的策略時,建議考慮以下幾點:

*制定供應鏈應急計劃

*建立庫存

*進行供應鏈漏洞稽核

*確定備用供應商

*多元化供應基地

*與物流專家合作

*採用風險評估工具

竣盟科技已經檢查了幾個主要勒索軟體組織的揭秘網站,但目前沒有一個組織聲稱攻擊了Nichirin。

中國APT駭客組織ToddyCat建立了新型間諜軟體,以 MS Exchange伺服器為目標,對歐洲和亞洲知名實體發動針對性攻擊,台灣也受害!

ToddyCat 的工具–Samurai後門和 Ninja木馬旨在為攻擊者提供對入侵網路的持久性和深度存取

被稱為 ToddyCat的APT 駭客組織使用兩個以前不為人知的工具,分別稱為“Samurai backdoor”和“Ninja Trojan”。據Kaspersky的分析顯示,ToddyCat 的活動始於 2020 年 12 月,針對台灣和越南三個組織的未修補的 Exchange 伺服器進行了攻擊。攻擊者使用未知漏洞破壞 Exchange 伺服器並在系統上部署China Chopper Web shell,然後使用 Web shell 啟動了一個多階段的感染鏈,其中涉及自訂義入程式,最終以一種新型的惡意軟體工具一個名為“Samurai”的被動式後門程式,部署在被侵的系統上。

Samurai後門旨在讓攻擊者持續存取面向 Internet 的 Web 伺服器,後門經由在Port 80 和 443 上運作,主要用於在受感染的系統上遠端執行任意C#程式,可配合多種模組,允許攻擊者執行遠端程式並在目標網路內橫向移動。

2020 年 12 月至 2021 年 2 月是第一波攻擊的時期,ToddyCat鎖定了台灣和越南少數的Exchange伺服器, 隨後從 2 月 26 日到 3 月初,ToddyCat的攻擊迅速升級,開採Exchange Server的ProxyLogon漏洞攻擊歐洲和亞洲的多個高知名度組織,包括政府、軍事單位和軍方外包商。Kaspersky表示,ToddyCat的受害者包括俄羅斯、英國、斯洛伐克、印度、伊朗和馬來西亞的組織,能實現可能與地緣政治利益相關的關鍵目標,屬於傳統上中國APT駭客組織感興趣的行業和部門。

攻擊鏈,Photo Credit: Kaspersky

研究人員在調查攻擊中也發現,雖然第一波的攻擊,植入Samurai 後門針對 MS Exchange伺服器,但在隨後的一些攻擊中使用 Samurai 後門啟動“Ninja”木馬程式,另一種以前沒被發現過的攻擊工具。

Ninja 是一種類似Cobalt Strike 的惡意軟體,用於在已經受到攻擊的系統上執行後攻擊活動(post-exploitation)的工具,允許攻擊者控制遠端系統,操縱檔案系統,操縱進程,在其他進程中注入任意程式碼,轉發 TCP 數據包,還能修改HTTP header及URL 路徑,偽裝惡意流量,躲避偵測。從技術角度來看,Ninja是一種協作工具,允許多個攻擊者同時在同一台機器上操作。

總括而言,使 Samurai 和 Ninja 變得危險的原因在於惡意軟體中包含的反取證和反分析技術。例如Samurai 旨在與 Microsoft Exchange 共享 TCP 端口 80 和 443,無法通過監視端口來檢測,該惡意軟體還使用複雜的載入方式來避免檢測並保持持久性。此外,它使用一種稱為控制流扁平化的技術來避免被靜態分析工具檢測到。Ninja Trojan是一種模組化惡意軟體,攻擊者可以輕鬆擴展其功能,另外,由於Ninja Trojan僅在內存中運行,從未出現在檔案系統上,因此更難被檢測。

有關ToddyCat的”部分”入侵指標(Indicator of compromise -IOCs):

Hostname:

eohsdnsaaojrhnqo.windowshost.us

SHA 256:

e9bd74e4609cdcaf77e191628ccde2124be03a8daf38f1615df6fe7d096b0fba

be34b508eaf7d58f853fc912d43b0b51e6b963726742e383c2a8b2b0828a736f

8e2cd616286a13df82c9639d84e90a3927161000c8204905f338f3a79fe73d13

2b0e66bb1a4877cfe650a027754e18085d0e34ab73025d9458e6136560120ec5

日本德島縣鳴門市醫院遭LockBit 2.0 入侵,醫院網路異常,導致電子病歷無法存取,醫院緊急停收新病患

據多家日本媒體報導和德島縣鳴門山上醫院(Naruto Yamakami Hospital)的官網在6月20日的宣布,確認於6月19日晚,遭遇LockBit 2.0勒索攻擊,電子病歷和院內網路無法使用,醫院已緊急停止接收新的門診病人,但沒有影響住院患者的醫療和護理。

根據醫院的說法,攻擊發生在19日下午5點40分左右,醫院裡的一台連接網路的印表機印出大量英文的勒索信,同時電腦自動重啟,緊接著發現電子病歷系統無法使用。醫院聯繫縣警察和系統供應商。經過調查,確認感染LockBit 2.0勒索軟體,目前在政府和相關組織的支援下,正在檢查病患的個人資否外洩並努力恢復其系統。

鳴門山上醫院在官網宣布,遭LockBit 2.0勒索軟體攻擊

值得一提的是,據竣盟科技的觀察,LockBit2.0並沒有在其揭秘網站上,將德島縣鳴門山上醫院列為其受害者,推估雙方的談判可能仍在進行中。另外,如下圖所示,觀察到負責生產新幹線、日本航空和TOYOTA的座椅製造商TB川島株式會( TB TB kawashima Co Ltd.);新加坡的能源開發商Equis Development和印尼上市天然氣公司PT Medco Energi Internasional TBK(MEDC)出現在LockBit 2.0的受害者名單,顯示它們可能已被 LockBit 2.0 入侵。

由於TB川島株式會不僅是豐田的供應商,更是豐田附屬零部件製造商豐田紡織(Toyota Boshoku)的子公司,因此獲得媒體關注,日媒日経Tech就LockBit 2.0的攻擊提問TB川島株式會,但沒有得到回應。目前TB川島株式會的官網顯示維護中的狀態,如下圖:

日本德島縣鳴門市醫院遭LockBit 2.0入侵,是該縣第二起醫院資安事件,去年 10 月,在德島縣鶴木市半田醫院同樣遭受了LockBit 2.0勒索攻擊,導致電子病歷和會計等所有系統都處於中斷狀態,85,000名患者的數據及備份被加密,大約兩個月無法提供常規醫療服務。

有關LockBit 2.0的”部分”入侵指標(Indicator of compromise -IOCs):

IP address:

139.60.160.200

93.190.139.223

45.227.255.190

Hashes:

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

BlackCat勒索軟體集團的最新敲詐技倆,在明網上發布數據,向受害者施壓!

ALPHV 勒索軟體集團,又名BlackCat,最近在其揭秘網站上宣布,入侵了美國俄勒岡州的一家豪華度假村The Allison,並通過建立一個專門的明網網站,允許受害者的客戶和員工搜尋他們在攻擊中被盜的數據,將敲詐勒索提升到了一個新的層次。在互聯網上發布數據,使搜尋引擎可搜尋到數據,增加了對受害者的潛在影響,作為這次攻擊的一部分,BlackCat聲稱竊取了 1500 名員工和2,500 多客人的資料,約112GB數據。

網站頁面頂部有兩個Check yourself(檢查自己) 的按鈕,一個用於員工,一個用於酒店客人。

截圖: BlackCat為Allison Resort建立的外洩數據的網站

資全公司 Emsisoft 的威脅分析師 Brett Callow 稱 ALPHV/BlackCat的行動是一種狡猾策略,無疑通過這種策略增加他們從攻擊中獲利的可能性。如果受害公司客戶和員工知道與有關的資料以這種方式公開,受害公司可能更傾向於支付贖金以防止並避免受到集體訴訟的風險。Callow說,過去許多勒索軟體攻擊的受害者並不擔心他們的數據在Tor網路的揭秘網站上發布,他們認為大眾不容易接觸到暗網。

但現在使用該網站,員工、客戶或任何人都可以查看有關酒店客人及其住宿的資料或員工的個人數據。雖然客戶數據僅包含姓名、到達日期和住宿費用,但員工數據包含機敏的資料,例如姓名、社會安全號碼、出生日期、電話號碼和電子郵件地址等內容。

BlackCat建立這個網站的目的很明確,就是嚇唬員工和客人,要求酒店從網上刪除他們的數據,而這只能通過支付贖金來完成。

BlackCat勒索軟體至少從 2021 年 12 月開始活躍,是第一個用 Rust語言編寫的專業勒索軟體,這樣的選擇使他們能夠規避來自傳統安全解決方案的檢測。此外,這使得他們的惡意軟體能跨平台,可在 Windows 和任何 *NIX 系統上自由啟動。根據美國聯邦調查局 (FBI)發布的警報,自 2021 年 11 月首次發現 BlackCat 勒索軟體攻擊以來,截至 2022 年 3 月,全球至少有 60 個實體受害。許多資安專家認為,ALPHV/BlackCat是另一個勒索軟體組織Darkside(也稱為 BlackMatter)的更名,該組織在2021 年5月攻擊了美油管Colonial Pipeline,關閉了美國東岸整個輸送網路,最後Colonial Pipeline向操作DarkSide的駭客支付了約新台幣1.39億元的贖金。

有關BlackCat勒索軟體的”部分”入侵指標(Indicator of compromise -IOCs):

Domain:

sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion

id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion

SHA 256:

f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6

f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89

f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb

傳出上市半導體企業遭勒索軟體攻擊,這次的罪魁禍首是它-Cuba Ransomware!首見勒索軟體古巴入侵台灣!

據觀察,竣盟科技於6月14日在勒索軟體古巴(Cuba)的Tor揭秘網站上,發現該勒索軟體集團宣稱加密了總部在新竹科學園區的某無晶圓業IC設計業者,該業者長期耕耘利基型DRAM記憶體和系統晶片等產品之開發設計、銷售與技術服務,是全球純IC設計企業Fabless 50強之一。

操作勒索軟體古巴的駭客稱已在6月1日竊取該半導體公司的原始程式碼,財務文件、與銀行員工通信、帳戶移動活動、資產負債表、稅務檔、薪酬等資料,但尚未透露數據量、或贖金價格。不過這項消息尚未獲得業者的證實,目前該公司亦沒有在公開資訊觀測站針對這次駭客的發布重大訊息。

Cuba 勒索軟體於2020 年 2 月首次被發現,主要是透過Hancitor惡意程式散布,利用釣魚郵件、微軟Exchange漏洞、盜來的憑證或RDP工具來獲得對脆弱的Windows系統的存取,成功入侵之後再部署後門程式,最後才執行Cuba勒索軟體。去年 12 月美國聯邦調查局 (FBI)警告說,勒索軟體古巴成功入侵了美國五個重大基礎設施(包括金融、政府、醫療保健、製造業和資訊科技部門)的49個實體,至少賺取了4390萬美元的贖金。雖然攻擊的數量相較其他勒索軟體少,但其選擇性的攻擊,往往只針對大型企業或組織,顯示了其瞄準性攻擊的策略。

根據TrendMicro的研究報告,今年4 月下旬,觀察到勒索軟體古巴的新變種,一個新二進制檔案包括一些少量的功能添加和更改,表明古巴仍然積極開發並優化其加密工具。目前古巴可在加密前,終止更多進程包括Outlook、MS Exchange 和 MySQL等,以防止這些應用程式防礙其加密的執行。其次,古巴已擴充其exclusion list,排除加密以下安全清單目錄和副檔名的檔案:

Photo Credit : Trend Micro

古巴的變種是否意味著該勒索軟體集團將接下來對企業發動更多的攻勢,值得我們繼續關注,此次之前,我國企業沒曾傳出遭古巴勒索攻擊的資安事件。

有關勒索軟體古巴的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

89288de628b402621007c7ebb289233e7568307fb12a33aac7e834504c17b4af

b14341b1ffe9e2730394b9066c6829b4e2f59a4234765ae2e97cfc6d4593730a

79d6b1b6b1ecb446b0f49772bf4da63fcec6f6bfc7c2e1f4924cb7acbb3b4f53

一個首次被發現的中國APT駭客組織,以亞太政治元素或色情檔案發動間諜活動,十年來悄悄監視東南亞和澳洲的目標

早在 2013 年,稱為Aoqin Dragon,一個以前沒被記錄過的中國APT駭客組織,與一系列針對東南亞和澳洲政府、教育和電信實體的間諜攻擊有關,根據 SentinelLabs報告,自從Aoqin Dragon首次被發現以來,已經採用了三種不同的攻擊鏈。

最早在2012 年至 2015 年間使用,涉及利用 CVE-2012-0158 和 CVE-2010-3333 等已知和未修補Microsoft Office文檔的漏洞發動網路釣魚攻擊。第二種攻擊方法是用假冒的McAfee 和 Bkav防毒圖標掩蓋惡意可執行文件,誘騙用戶啟動它們,並在他們的設備上起動惡意軟體的釋放程式。從 2018 年到現在,Aoqin Dragon已經轉向使用可拆卸設備快捷方式檔案(.LNK),點擊該檔案時,會執行DLL劫持技術並載入加密的後門payloads。該惡意軟體以“Evernote Tray Application”的名稱運行,並在系統啟動時執行。如果載入程式檢測到可拆卸設備,它還會複製payloads以感染目標網路上的其他設備。Aoqin Dragon 的攻擊鏈依靠亞太政治事務和以色情為主題的文件誘餌以及 USB 快捷方式來觸發後門的部署。

根據報告,Aoqin Dragon在攻擊時使用的誘餌文件
亞太政治誘餌文件

根據 SentinelLabs報告,已確認了駭客組織使用的兩個不同後門, 一個為 Mongall 和另一個為修改版的Heyoka Project。兩者都是注入內存、解密和執行的 DLL。

Mongall(“HJ-client.dll”)至少從 2013 年就開始使用,它被描述為一種“功能特別豐富”的植入程式,包含足夠的功能來建立遠端 shell 並上傳和下載任意檔案到來自攻擊者控制伺服器。最近的版本具有升級的加密協議和 Themida 打包軟體,旨在保護它免受逆向工程的影響。

另一個後門 Heyoka Project是一個開源滲透工具,它使用欺騙性的 DNS 請求來建立雙向通信隧道。在從受感染設備複製文件時使用Heyoka,以使用戶更難檢測到駭客的數據盜竊活動。

Aoqin Dragon已對 Heyoka 進行了修改,以建立支援以下命令的自定義後門:

*open a shell

*get host drive information

*search file function

*input data in an exit file

*create a file

*create a process

*get all process information in this host

*kill process

*create a folder

*delete file or folder

以下是最近觀察到 Aoqin Dragon的最新攻擊鏈:

  1. 製作一個可移磁碟快捷方式檔,其中包含啟動惡意軟體的特定路徑。
  2. 當使用者點擊假冒設備時,它會執行「EvernoteTray Application」,並使用DLL劫持載入惡意的encrashrep.dll載入程式作為資源管理器.exe。
  3. 執行載入程式後,它將檢查它是否在任何連接的可行動裝置中。
  4. 如果載入程式不在可移動磁盤中,它將複製“%USERPROFILE%\AppData\Roaming\EverNoteService”下的所有模組,其中包括普通檔,後門載入程式和加密的後門有效負載。
  5. 惡意軟體使用值為「EverNoteTrayUService」設置自動啟動功能。當使用者重新啟動電腦時,它將執行「Evernote Tray Appliacation」並使用DLL劫持來載入惡意載入程式。
  6. 載入程式將首先檢查檔路徑並解密有效負載。此攻擊鏈中有兩個有效負載:第一個有效負載是傳播器,它將所有惡意檔複製到可行動裝置;第二個是加密的後門,它將自身注入rundll32的記憶體中。

有關Aoqin Dragon的部分入侵指標(Indicator of compromise -IOCs):

SHA1
a96caf60c50e7c589fefc62d89c27e6ac60cdf2c
ccccf5e131abe74066b75e8a49c82373414f5d95
5408f6281aa32c02e17003e0118de82dfa82081e
a37bb5caa546bc4d58e264fe55e9e9155f36d9d8

美國聯邦機構:中國APT駭客利用常見漏洞,入侵電信公司,窺探網路流量,藉以竊取受害者數據

美國國家安全局 (NSA)、網路安全暨基礎安全局 (CISA) 和聯邦調查局 (FBI)在周二(6/7)發布了聯合網路安全諮詢報告,警告說中國APT駭客如何通過利用眾所周知的漏洞來鎖定和入侵電信公司和網路服務提供商,受影響的網路範圍從小型企業的路由器到任何中型和大型企業的網路設備。一旦入侵,駭客會將這些設備用作他們自己的攻擊基礎設施的一部分,作為C2伺服器和proxy系統,使他們可以用來破壞更多的網路。

根據安全諮詢報告,自2020年以來,中國一直在利用特定技術和常見漏洞在網路攻擊活動中發揮其優勢。利用這些漏洞,他們可以建立廣泛的基礎設施網路,以針對目標的政府部門和私人機構。

一旦在電信組織或網路服務提供商獲得切入點後,中國APT駭客會先確認關鍵用戶和基礎設施,如對維護身份驗證,授權和會計安全性至關重要的系統,然後攻擊者再竊取憑證以存取底層 SQL 數據庫,並使用 SQL 命令從關鍵的遠端驗證撥入使用者服務 (RADIUS)伺服器轉儲用戶和管理員憑證。

聯邦機構進一步說,憑藉來自受感染的 RADIUS 伺服器和路由器配置的有效帳戶和憑證,攻擊者利用他們的存取權限和技術成功驗證和執行路由器命令,偷偷地將流量路由,捕獲和滲透到攻擊者控制的網路基礎設施。

以下常見漏洞 (CVEs)是美國聯邦機構表示,自 2020 年以來中國APT駭客最常利用的網路設備漏洞:

通過利用這些漏洞,中國APT駭客建立了廣泛的基礎設施網路,幫助他們進一步更廣泛的入侵政府部門和私人機構。

NSA、CISA 和 FBI 還敦促美國和盟國政府、關鍵基礎設施和私營行業組織應用一系列緩解措施,以幫助降低類似攻擊破壞其網路的風險。聯邦機構建議組織​​盡快應用安全修補,禁用不必要的端口和協議以縮小其攻擊面,並更換不再接收安全修補的報廢網路基礎設施。他們還建議對網路進行分段以阻止橫向移動,並在互聯網公開服務上啟用強大的日誌記錄以盡快檢測攻擊嘗試。

外媒報導鴻海旗下富士康墨西哥Foxconn BC,遭勒索軟體LockBit 2.0入侵

#官網張貼維護中的公告

根據資安新聞網站SecurityWeek的報導,操作勒索軟體LockBit 2.0的背後駭客聲稱入侵了富士康墨西哥的電腦系統,富士康墨西哥工廠Foxconn BC位於下加州Baja California(墨西哥最靠近北邊的州) 的最大城市提華納(Tijuana),Foxconn BC是致力於製造醫療設備和消費電子產品的大型製造業者,該工廠約有 5,000 名員工。

Photo Credit : SecurityWeek

直到目前,尚不清楚LockBit2.0勒索軟體的攻擊是否對該工廠運營科技 (OT) 系統產生任何影響,是否波及製造環境導致生產線關閉等問題。然而,據觀察,Foxconn BC的官網目前呈現維護中的畫面。

Foxconn BC的官網目前呈現維護中的畫面

據報導,駭客威脅除非收到贖金,否則將在 6 月 11 日發布所有取得的資料,但索要的贖金金額仍不得而知。據悉,外媒已經聯繫了Foxconn BC,但該公司尚未發表任何評論作出回應。此次之前,2020年11月底,位於墨西哥Ciudad Juárez, Chihuahua的富士康CTBG工廠亦曾遭勒索軟體Doppel Paymer加密,當時駭客宣稱竊取了100GB的檔案,而且加密了1,200臺伺服器,已刪除的20-30 TB備份,要求富士康CTBG工廠支付3,400萬美元的贖金。

勒索軟體LockBit2.0導致國內企業有不少災情:

2022年5月份,有四家台灣企業遭LockBit2.0勒索軟體的攻擊,當中包含台灣某背光模組大廠和其子公司–> https://blog.billows.com.tw/?p=1923

2022 年 4 月某一飲料原物料商–>https://blog.billows.com.tw/?p=1833

2021年10月某製造業成衣副料商–>https://blog.billows.com.tw/?p=1411

2021年11月上市營建公司日勝生及該集團旗下百貨京站也遭LockBit2.0攻擊

最近傳出LockBit2.0將升級成為LockBit3.0的版本,並將更名為LockBit Black,LockBit2.0被譽為當今最快加密的勒索軟體,它的升級是否會帶來更多的變化,值得我們持續關注。

有關LockBit2.0的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://45.32.108.54:443/c0000015.log

http://45.32.108.54:443/glib-2.0.dll

IPv4: 149.28.137.7

SHA 1:

e35a702db47cb11337f523933acd3bce2f60346d

729eb505c36c08860c4408db7be85d707bdcbf1b

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

1458421f0a4fe3acc72a1246b80336dc4138dd4b

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302