作者: blogadmin

攻擊發生在上週，該機構已經採取了“強大的安全措施”來保護IT系統

聯合國國際海事組織（IMO）是國際航運安全，安保和環境性能的全球標準制定機構，聯合國海事組織制定的監管框架，在全球內採用，以確保運輸的安全和保障以及防止船舶造成海洋和大氣污染。

據該機構稱，第一次網路攻擊導致IMO網站和其他Web服務在9月30日斷網，IMO最初將問題歸因於技術問題，但在10月1日，IMO透露問題的真正原因是網路攻擊。

IMO在新聞稿稱，電子郵件系統，其虛擬會議平台以及其他內部和外部協作平台均未受影響，受影響的系統如IMO網站，在10月2日（星期五）恢復。

該機構說：“ IMO總部的檔案伺服器位於英國，在日內瓦擁有大量的備份系統，備份和還原系統都有定期測試。”

新聞稿中說：“在攻擊之後，秘書處關閉了關鍵系統，以防止受到攻擊的進一步破壞。秘書處並與國際資安專家合作，以盡快恢復系統，確定攻擊源，並進一步增強安全系統，以防止再受到攻擊。” 但IMO沒有分享有關攻擊的技術細節，目前也尚不清楚IMO是否受到勒索軟體攻擊。

另外在9月底，法國海上運輸和物流巨頭CMA CGM SA透露，它是Ragnar Locker惡意軟體攻擊的受害者，該惡意軟體攻擊影響了其網路上的某些伺服器。

*****竣盟科技快報歡迎轉載，但請註明出處

Emotet是一種常見的銀行木馬，最近廣泛被用作竊取憑證，被視為勒索軟體攻擊的先兆並在近年來已發展成為一個殭屍網路，TA542駭客組織使用該殭屍網路在受感染的設備上傳送第二階段惡意軟體的payloads。

Emotet木馬將在受感染的電腦下載並安裝其他惡意軟體，如TrickBot和QakBot。 眾所周知，這些木馬會引起Ryuk，Conti和ProLock的勒索軟體駭客組織所攻擊及利用。

根據在週二發布的警報: CISA和MS-ISAC(多州資料共享與分析中心)收集到的資料，Emotet自2020年7月以來復活，

另美國國土安全部（DHS）解釋說，在此期間，“ CISA觀察到Emotet在針對性的攻擊活動中分階段性執行。

自8月以來，CISA和MS-ISAC 發現“利用Emotet網路釣魚電子郵件，針對州和地方政府的惡意網路參與者的數量已大大增加”。CISA補充說：“這種增加使Emotet成為最普遍的持續威脅之一。”

Emotet的廣泛使用是結合了許多技巧的結果，其中包括：

*能夠傳播到附近的Wi-Fi網路

*多型(polymorphic)，意味著它不斷地改變其可識別的特徵，使其很難被檢測為惡意。

*無檔案感染（例如Powershell腳本）使感染後的檢測變得困難

*蠕蟲般的功能，它們竊取管理密碼並使用它們在整個網路中傳播

*電子郵件線程劫持Email thread hijacking”是指它從一台被感染的電腦上竊取電子郵件鏈，並使用欺騙性的身份來回應，欺騙線程中的其他人打開惡意文件或點擊惡意連結。

在2020年7月開始，CISA注意到Emotet的活動有所增加，其EINSTEIN入侵檢測系統可保護聯邦，民用行政部門網路已檢測到約16,000個相關警報。

為了保護網路和設備免受Emotet攻擊，CISA和MS-ISAC建議管理員和用戶在打開可疑附件時，要謹慎並使用防病毒軟體和阻止可疑IP。

Source: https://us-cert.cisa.gov/ncas/alerts/aa20-280a

*****竣盟科技快報歡迎轉載，但請註明出處

勒索軟體已開始使用另一種手段來勒索受害者：DDoS攻擊受害者的網站，直到受害企業回應，並進行協商為止。

根據研究人員發現，在最近勒索軟體攻擊的談判陷入僵局後，SunCrypt勒索軟體的背後駭客DDoS了受害者的網站。

當受害者重新登錄勒索軟體的Tor付款網站時，他們收到一條消息，表示SunCrypt發動了DDoS攻擊，如果不進行談判，攻擊將繼續下去。

SunCrypt勒索軟體的駭客警告受害者：“由於我們技術人員的努力，目前您的網站已被關閉。請盡快向我們發送訊息，否則我們將採取進一步行動。”

當受害者詢問為什麼要DDoS攻擊並使其網站關閉時，SunCrypt則表示是要迫受害者進行談判。

駭客說：“我們在談判的整個過程中，您沒有露面，所以採取了進一步的行動。”

在受害者再次開始談判之後，SunCrypt同意讓技術人員暫停DDoS攻擊

研究人員相信這種策略對小型企業的受害者特別有效，最終導致受害人支付贖金。通過結合竊取數據，威脅洩露數據，無法訪問已加密的檔案以及現在添加的DDoS攻擊，小型企業的營運會受到極大的影響而停運。

研究人員表示，這是SunCrypt勒索軟體的駭客更新其策略以增加對受害者的施壓的示範，目的是在使受害企業除了支付贖金外別無選擇。

竣盟科技建議針對勒索軟體的應對措施:

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階誘捕系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載，但請註明出處

Emotet是一種惡意軟體病毒，它通過包含惡意Word或Excel文檔的垃圾郵件傳播， 在打開並啟用macros後，可在受害者的電腦上安裝Emotet木馬。感染後，Emotet將竊取受害者的電子郵件，並在攻擊者的控制下將其發送回伺服器。這些電子郵件將被用作將來的垃圾郵件活動的一部分，以使惡意垃圾郵件看起來更真實。

Emotet木馬將在受感染的電腦下載並安裝其他惡意軟體，如TrickBot和QakBot。 眾所周知，這些木馬會引起Ryuk，Conti和ProLock的勒索軟體駭客組織所攻擊及利用。

現在有一項最新的資安服務，名為“ Have I Been EMOTET”，可讓您輸入電子郵件地址並檢查是否：

*已收到Emotet電子郵件

*電子郵件被盜並用於Emotet垃圾郵件 

*或者有電腦可能感染了Emotet

網站名稱: Have I Been EMOTET

網址連結: https://www.haveibeenemotet.com/

Have I Been EMOTET由意大利TG Soft資安公司開發，TG Soft公司自2020年8月至9月23日之間已經監測並分析了70萬以上的Emotet外發電子郵件，並收集了超過210萬個電子郵件地址。竣盟科技使用了Have I been EMOTET 的網站來檢測並發現不少台灣企業已成為emotet的受害者。

如果您的網域名或email沒有與emotet有關聯或受感染, 結果的顯示會是綠色的，反之結果則顯示紅色，紅字的說明及解釋如下:

REAL SENDER：表示使用此電子郵件帳戶的電腦已被盜用，並已用於發送垃圾郵件。

FAKE SENDER：表示您的郵件被盜並用於垃圾郵件活動。

RECIPIENT ：表示您是Emotet垃圾郵件的收件人。

另提供示範檢測的結果供對比, 如下圖: 

#竣盟科技關心您

#情資才是王道

有關Emotet的相關情資, 盡在竣盟科技代理的AlienVault OTX情資平台上:

https://otx.alienvault.com/pulse/5f484a8b7258dd001feb992f

https://otx.alienvault.com/pulse/5f4d42ac67920e64f5ed30c5

*****竣盟科技快報歡迎轉載，但請註明出處

重點:

*全美多個縣市執法機構週一（美國東部時間）晚上約7點報告了其911系統的故障

*同時，Microsoft報告了其365雲端服務的嚴重中斷；目前尚不清楚兩者是否有關連

*許多受影響的部門在一個小時的時間內恢復緊急電話服務

美國警方部門在亞利桑那州，加州，科羅拉多州，特拉華州，佛羅里達州，伊利諾伊州，印第安納州，明尼蘇達州，內華達州，北卡羅來納州，北達科他州，俄亥俄州，賓夕法尼亞州和華盛頓州等等的縣市回報緊急電話癱瘓的問題，警方同時敦促人們在遇到緊急情況時撥打當地警局電話。

BREAKING: nationwide 911 outage

Can confirm in my area of Minnesota ⬇️ pic.twitter.com/bgJE71xHmK

— Kyle Hooten (@KyleHooten2) September 29, 2020

911 OUTAGES: Police departments across the country, including here in the Philadelphia region are reporting 911 outages on Monday night. https://t.co/YPtWwOoWul

— Action News on 6abc (@6abc) September 29, 2020

Minneapolis direct dial for 911 is 612.348.2345. pic.twitter.com/Obgy1yz1Cj

— CrimeWatchMpls (@CrimeWatchMpls) September 28, 2020

911 services are down in the City of Tucson. If you need to make an emergency call, dial 520-372-8011. We will let you know when 911 is back online. pic.twitter.com/aDfAIX3yDU

— Tucson Police Dept (@Tucson_Police) September 28, 2020

此後，許多系統在一個小時內復原，但是某些地區的警方仍要求人們使用當地警局電話號碼而不是911，以避免使系統過度使用。

據NBC稱，與此同時，Microsoft發生了重大系統故障，Microsoft表示，包括Outlook，Office 365和Microsoft Teams在內的某些Microsoft服務在星期一經歷了數小時的停機，但是對於大多數用戶來說，目前已恢復。

“通過我們的監控，我們已經確認大多數客戶已經恢復了大多數服務，”微軟Office狀態頁上的一條通知寫道。“但是，我們繼續看到一小部位於北美地區的客戶，他們仍然受到影響。我們現在正在為仍然受到影響的客戶調查，實施緩解措施。”

The majority of services are now recovered for most users. We’re closely monitoring some residual impact for a subset customers located within North America. Please visit https://t.co/lbjX5iaxCX for additional information.

— Microsoft 365 Status (@MSFT365Status) September 29, 2020

911緊急電話服務中斷發生的時間與全美多家Universal Health Services（UHS）醫院系統癱瘓的時間很接近，因此在網路上引起了巨大的關注，許多網民把兩者連接在一起，但目前没證據支持此說法。

*****竣盟科技快報歡迎轉載，但請註明出處。

UHS在美國和英國經營著400多家醫院。自周日以來，一些美國醫院系統受影響而斷網。UHS工作人員表示，由於電腦系統出現故障，他們不得不使用筆和紙。

重點:

*美國和英國的主要連鎖醫院Universal Health Services(UHS)表示，其電腦網路因“安全問題Security issue”而斷網

*《財富Fortune》500強公司之一，UHS擁有400家醫院和診所，擁有90,000名員工

*UHS表示正在使用備份來嘗試還原網路

*美國的UHS醫院（包括加州，佛羅里達，德州，亞利桑那州和華盛頓特區的醫院）無法使用電腦和電話系統

*UHS說似乎沒有患者，員工數據被訪問，複製或以其他方式洩露

*該公司的網站說，UHS每年治療350萬患者

據員工和患者稱，自周日上午以來，UHS醫院一直在沒有內部IT系統的情況下運營。由於UHS實驗室的設施無法正常運作，一些患者被拒之門外，緊急情況的患者已轉移到其他醫院。

一位知情人士說，電腦螢幕出現了“影子宇宙shadow universe”的字樣，另一名員工告訴外媒BleepingComputer，檔案被新重命名為包括.ryk副檔名，與Ryuk勒索軟體特徵一致。知情人士也說：“每個人都被告知要關閉所有電腦，不要再次打開它們。”“我們被告知要幾天後才能再次啟動電腦。”

根據資安專家Vitali Kremez，他們在2020年以及最近的9月都檢測到有影響UHS Inc.的Emotet和TrickBot木馬。

該Emotet木馬通過網路釣魚包安裝在受害者的電腦上並隨電子郵件的惡意附件散播。一段時間後，Emotet還會安裝TrickBot， 在從受感染的網路中收集敏感資料後，再為Ryuk打開reverse shell。一旦Ryuk訪問網路，他們便會開始偵察，在獲得管理員憑證後，便使用PSExec或PowerShell Empire在網路設備上部署勒索軟體的payloads。

此資安事件影響了UHS設施後，還傳出等待實驗室結果中有四名病人死亡。

上週德國一名婦女因勒索軟體攻擊而轉移到另一家醫院死亡後，德國警方發起了兇殺案調查。

Ryuk勒索軟體的相關情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5e8369d35fd7d069d77f06ea

https://otx.alienvault.com/pulse/5e7cc5274bea708f20593bec

來源參考: https://www.bleepingcomputer.com/news/security/uhs-hospitals-hit-by-reported-country-wide-ryuk-ransomware-attack/

https://www.nbcnews.com/tech/security/cyberattack-hits-major-u-s-hospital-system-n1241254

據意大利媒體報導，Luxottia旗下的Ray-Ban ，LenCrafters， EyeMed，Pearle Vision等網站於意大利時間上週五晚上,無法正常運作, 此外也被發現Luxottia的入口網站one.luxotrica.com和university.luxottica.com也顯示網站維護中的消息。

9月22日，意大利媒體報導稱，Luxottica工廠於意大利Belluno地區的Agordo與Sedico 的IT系統故障，停頓了Belluno地區工廠整天的工作。據Ansa報導，由於 “電腦系統故障”，Agordo和Sedico的生產和物流工廠於昨天早晨關閉。在昨天進行第二次輪班之後，員工透過簡訊被告知，由於系統無法運作，所以在晚上公司決定取消夜班。

工會消息人士後來向意大利媒體Ansa證實，由於“嚴重的IT問題，系統無法運作，這些員工被告知，不用去上班。

另外，資安公司Bad Packets稱Luxottica的Citrix ADC是存有Citrix設備中嚴重的 CVE-2019-19781漏洞。此漏洞在勒索軟體駭客中廣泛使用，利用此漏洞將提供駭客對網路的訪問權限和憑證，可用於透過網路進一步傳播。

儘管沒有關於這些系統中斷的官方聲明，但據媒體報導稱，Luxottica遭受了網路攻擊，而勒索軟體正是罪魁禍首，目前沒有更多資訊關於是哪一支勒索軟體所為。

註:Luxottica是全球最大的眼鏡公司，擁有超過80,000名員工，2019年創造了94億美元的收入，眼鏡品牌包含知名品牌，包括雷朋，Ferrari, Michael Kors, Bulgari寶格麗, Armani, Prada普拉達, Chanel香奈兒 和Coach等

竣盟科技建議針對勒索軟體的應對措施:

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階誘捕系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載，但請註明出處