傳出台灣某上市光纖網路設備大廠 遭仙人掌勒索軟體加密

Key Points:

*仙人掌勒索軟體自 2023 年 3 月以來一直活躍,迄今一直針對知名目標。

*主要針對 VPN 設備,尤其是 Fortinet VPN 中的漏洞。從事件中觀察到的趨勢表明,未經授權的存取通常是使用 VPN 服務帳戶透過 VPN 伺服器獲得的。

*仙人掌勒索軟體最奇特的一點是它會以自我加密逃避偵測。

6月11日竣盟科技在仙手掌揭秘的暗網中發現有台灣某光纖網路設備業者的頁面,駭客聲稱已盜得該業者的公司機敏資料,包括工程檔案、財務資料、客戶資訊、個人身份文件,資料庫備份等。作為證據,駭客公佈疑似該企業台灣員工的護照及中國籍員工的通行證。然而目前沒看到駭客勒索的金額及談判最終的有效期限,相對於其他被勒索的公司,本次的台灣業者被盜的資料顯然較少,仙人掌稱盜竊了93GB的數據。

自 2023 年 3 月以來仙人掌(Cactus)勒索軟體組織已成為一個重大威脅,利用各種策略來破壞企業網路並部署勒索軟體。據觀察,該組織以 VPN 設備為初始存取目標,並利用已知漏洞在受害者環境中站穩腳跟,同時仙人掌會濫用合法的遠端監控和管理 (RMM) 工具來實現受感染系統的持久性。Cactus 勒索軟體組織於2023 年3月出現,透過利用已知漏洞(尤其是VPN 設備中的漏洞)、採用Living-off-the-Land 等複雜技術以及利用合法網路工具進行橫向移動,迅速升級了其行動。該組織的方法涉及使用需要解密金鑰才能執行的加密有效負載,這有助於逃避安全工具的偵測。 仙人掌也使用 Cobalt Strike 等工具,並利用 TotalExec 等腳本來自動化加密過程,這與 BlackBasta 勒索軟體組織使用的策略非常相似。 仙手掌勒索軟體不僅僅止於加密。駭客為確保其存在深植於受感染的系統中,採用複雜的感染鏈並利用多層混淆來隱藏其活動。從使用UPX 打包和利用OpenSSL、AES OCB和ChaCha20_Poly1305等加密演算法,到組織重新啟動執行和枚舉網路共享,Cactus 展示了多方面的攻擊方法,確保其活動不僅成功,而且保持秘密性。Cactus 勒索軟體透過建立一個名為「更新檢查任務」的排程任務(每 5 分鐘運行一次)來確保其在受感染系統中持續存在,從而將勒索軟體作為SYSTEM 運行,並確保其惡意活動繼續順利進行。

仙人掌是雙重勒索軟體變種的一個例子,除了結合使用 RSA 和 AES 來加密資料外,惡意軟體還嘗試竊取資料。據觀察,仙人掌可以使用 Rclone 來實現此目的,它將被盜的文件移動到雲端儲存。一旦加密和洩漏完成,仙人掌就會在使用者的電腦上發布勒索資訊。

仙人掌發布的勒索信–cAcTuS.readme.txt

以下提供仙人掌相關的部分的入侵指標(IOCs):

be139fc480984eb31de025f25a191035

08d2c800c93015092e14738c941ac492

02e4da16377fc85e71a8c8378b2a8a96

8b37df9d295bbc2906961f72b7cdc5fb

8af259ad55c3746926e992c82bc7e850

55e42014424c0d120ff17f11e207e4f0

5f7c3cda7759ef6e577552ad322c1f64

39fe99d2250954a0d5ed0e9ff9c41d81

0e4ee38fe320cfb573a30820198ff442

8d2e4bef47e3f2ee0195926bbf4a25d5

f7a6d1e6e5436bd3c10f3a26f3e9b9b9

fb467a07f44e8d58e93e3567fd7ff016

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

勒索軟體Knight重新命名為RansomHub且加倍攻擊 傳出台灣電腦大廠遭駭

Knight(又稱 Cyclops 2.0)勒索軟體於 2023 年 5 月首次出現,採用雙重勒索策略來竊取和加密受害者的資料以獲取經濟利益。它可跨多個平台運行,包括 Windows、Linux、macOS、ESXi 和 Android。Knight利用網路釣魚和魚叉式網路釣魚活動作為惡意附件形式的分發媒介,並在RAMP網路犯罪論壇上推動廣涉及勒索軟體的攻擊。然而其勒索軟體即服務 (RaaS) 操作於 2024 年 2 月下旬關閉,並出售其原始程式碼,增加了勒索軟體轉手給其他駭客的可能性,據悉獲得該原始碼的駭客隨後並以Ransom Hub品牌重新出發。Ransom Hub 在同月發布了第一個受害者訊息,最近幾週與一系列高關注度勒索軟體攻擊有關,其中包括美國醫療集團 Change Healthcare、拍賣業者佳士得Frontier Communications(美國前線通訊公司)的攻擊。值得一提的是,Ransom Hub揚言不會攻擊獨聯體國家(Commonwealth of Independent States — CIS)包含古巴、北韓和中國。普遍認為這可能與俄羅斯有關,長期以來,俄羅斯一直對駭客犯罪活動視而不見,條件是這些活動不針對俄羅斯或其盟友。根據TheHackerNews報道,觀察到Ransom Hub 的攻擊是利用已知的漏洞 (例如ZeroLogon ) 來取得初始的存取權限,並在部署勒索軟體之前刪除Atera和Splashtop等遠端桌面軟體。

根據Malwarebytes分享的統計數據,僅在2024年4月, Ransom Hub 就與26起已確認的駭客攻擊事件有關,僅次於Play、Hunters International 、Black Basta和LockBit。另外,賽門鐵克一份報告中表示,Knight和Ransom Hub 這兩個系列的勒索軟體其程式碼重疊程度很大,很難區分它們。它們之間的重疊也延伸到用於編碼字串的混淆技術、機密檔案後遺失的勒索訊息,以及在開始加密之前以安全模式重新啟動主機的能力。唯一主要的區別是透過cmd.exe執行的命令集,儘管“相對於其他操作的呼叫方式和順序是相同的”。 昨日(6/6)也傳出藍天電腦遭Ransom Hub攻擊,被盜200Gb的資料,今天(6/7)該公司針對該起事件發佈重訊,稱其資安單位偵測網路傳輸異常,隨即啟動資安防禦及復原機制,目前未有無法營運或無法正常提供服務之情事。

根據美國知名網路安全公司Mandiant:”在近三分之一的事件中,勒索軟體是在攻擊者首次存取後48小時內部署的。” “百分之七十六(76%)的勒索軟體部署發生在工作時間之外,其中大多數是發生在清晨。” 而勒索軟體攻擊的特點在於用戶使用商業上可用的合法遠端桌面工具做為入侵操作,而不是依賴Cobalt Strike(滲透偵測工具)。對合法工具的日益依賴可能反應了攻擊者努力向檢測機制隱藏其操作,並減少自行開發與維護自訂工具所需要的時間與資源。

以下提供Ransom Hub相關的部分的入侵指標(IOCs):

勒索軟體的攻擊事件嚴重干擾了倫敦多家醫院

針對病理和診斷服務提供者 Synnovis 的勒索軟體攻擊嚴重影響了倫敦幾家主要醫院的運作。這次攻擊迫使受影響的醫院取消了一些醫療程序,在某些情況下,患者被轉移到其他醫院。

最近,醫療保健和病理服務提供者 Synnovis 成為勒索軟體攻擊的受害者。該事件涉及 Cheerscrypt 勒索軟體的部署,該勒索軟體與一個名為「Emperor Dragonfly」的中國駭客組織有關。該組還可以用其他名稱來標識,例如 Bronze Starlight(由 Secureworks 提供)和 DEV-0401(由 Microsoft 提供)。據了解,Cheerscrypt 背後的攻擊者因經常在各種勒索軟體病毒之間切換而聞名,例如 Night Sky、Rook、Pandora 和 AtomSilo。這種策略幫助他們逃避偵測和歸因,使直接追蹤他們的活動變得更加複雜。值得注意的是,這些勒索軟體攻擊通常充當更廣泛的網路間諜活動的掩護,針對高價值組織的敏感數據,然後將其用於情報目的,而不是純粹的經濟利益。

6 月 3 日,在第三方提供者遭受勒索軟體攻擊,導致醫療保健專業人員無法獲得病理學服務後,倫敦幾家最大的醫院已取消手術,並宣布進入緊急事件狀態。根據社群媒體上發布的發表貼文和內部電子郵件,勒索軟體攻擊影響了一家名為 Synnovis 的公司,該公司為多家醫療機構提供輸血驗血等病理學服務。受影響的醫院包括國王學院醫院、蓋伊醫院、聖托馬斯醫院、皇家布朗普頓醫院和伊芙琳娜倫敦兒童醫院。

 英國 NHS 發言人表示:“緊急護理仍然可用,因此患者應以正常方式獲得服務,在緊急情況下撥打 999 或撥打 111,患者應繼續赴約,除非另有通知。在政府國家網路安全中心和我們的網路運營團隊的支持下,我們正在緊急努力充分了解該事件的影響。”

受影響的醫院也取消了一些醫療程序(包括手術)或將其轉交給其他提供者,因為他們無法「安全」地執行這些程序。

由於不再提供快速週轉的血液檢測結果,受影響醫院的緊急護理也可能受到這次勒索軟體攻擊的影響。

Synnovis 客戶服務入口網站上的警報警告其資料中心出現問題,且所有系統目前都無法存取。

Synnovis 在其網站上發布的一篇文章中透露,它是勒索軟體攻擊的受害者:

6 月 3 日星期一,Synnovis成為勒索軟體網路攻擊的受害者。這影響了 Synnovis 的所有 IT 系統,導致我們的許多病理學服務中斷。該公司發布的聲明稱: 遺憾的是,這正在影響患者,由於優先處理緊急工作,一些活動已經取消或轉移給其他提供者。這家病理和診斷服務提供者已在 NHS 專家的幫助下對此攻擊展開調查。專家們正在努力全面評估攻擊的影響,並採取適當的行動來遏制事件。該公司還宣布,他們正在與 NHS Trust 合作夥伴密切合作,盡量減少對患者和其他服務用戶的影響。

Synnovis 前身為 Viapath,於 2009 年成立為 GSTS Pathology ,並於 2022 年 10 月切換為 Synnovis 品牌。

Synnovis 是 SYNLAB 英國和愛爾蘭、蓋伊和聖托馬斯 NHS 基金會信託基金以及國王學院醫院 NHS 基金會信託基金之間的合作夥伴。

Synlab Italia 是 SYNLAB 集團的一部分,在義大利各地運營 380 個實驗室和醫療中心,在被迫關閉 IT 系統以遏制勒索軟體攻擊後,該公司於 4 月下旬暫停了所有醫療診斷和測試服務。

台灣知名硬體及冷卻器製造廠商Cooler Master傳遭駭客入侵,大量客戶重要敏感資料嚴重外洩 !!

      據國外知名資安新聞網站BleepingComputer近日報導一個名為『Ghostr』駭客聲稱於2024年5月18日入侵了Cooler Master酷碼科技的伺服器,竊取超過103GB的公司資料庫。外洩資料包含該公司、供應商、銷售、保固、庫存和人力資源數據,以及超過50萬名Fanzone會員的個人資料,包含會員的姓名、地址、出生日期、電話、電子郵件地址、實際地址、未加密的信用卡訊息(其中包含姓名、信用卡號、有效日期和3位數CC代碼)。

Photo Credit: Cooler Master

Cooler Master近期發布了一份確認此次洩露的聲明,稱: 「我們可以確認,5 月19 日,Cooler Master遭遇了資料洩露,涉及未經授權存取客戶資料。我們立即向當局發出警報,當局正在積極調查此次洩露事件。此外,我們還聘請了頂級安全專家來解決洩露問題並實施新措施這些專家已成功保護我們的系統並增強了我們的整體安全協議,我們正在直接通知受影響的客戶並就後續步驟向他們提供建議。」

Fanzone是Cooler Master的產品註冊服務網站,用戶可以在其中註冊產品保固、提交退換貨授權請求、聯繫客服支援服務等等。『Ghostr』還分享竊取的資料樣本給媒體,BleepingComputer經確認這些樣本資料是正確的,因為其中包含客戶最近向Cooler Master請求的客服支援服務或提交退換貨授權等紀錄。樣本中的其他數據還包含產品資訊、員工資訊以及與供應商的電子郵件相關訊息,但其中並未發現對方宣稱的信用卡資料。

Cooler Master已回覆向BleepingComputer表示他們公司確實遭受駭客入侵且資料洩漏,並已陸續發函通知受影響的客戶,且聘請資安專家協助解決資料外洩問題並實施新措施保護公司系統及強化整體資訊安全。

『Ghostr』表示將在駭客論壇上出售洩漏的數據,但尚未透露價格,意圖尋找買家。這事件提醒所有企業與用戶都應該隨時保持資安警惕,尤其是針對性的網路釣魚電子郵件及其他試圖竊取更多個人資料的社交工程手段,避免因個資外洩造成財產重大損失。

 外媒報導日系網通設備供應商Allied Telesis遭勒索軟體組織LockBit 滲透攻擊 敏感資料外洩

Photo Credit: The Cyber Express

      據Cyber Express外媒報導國際頭號勒索軟體組織LockBit 聲稱入侵Allied Telesis,並於2024年5月27日洩露了該公司的設計藍圖、護照及機密協議等敏感資料,並宣稱於6月3日將發佈全面的資料。而Allied Telesis公司尚未對外說明證實或反駁所謂的駭客攻擊所造成的公司重要敏感資料外洩事宜。

國外相關執法機構先前於2024 年 2 月曾針對LockBit造成的危害嚴重性,關閉與LockBit操作相關的伺服器、沒收管理面板權證、附屬網路資訊和加密貨幣交易等關鍵行動。迄今顯然沒有嚇阻效用,LockBit目前持續更新在加密工具和伺服器的攻擊手法,持續擴大勒索行徑。

LockBit通常會透過Email、惡意程式下載、釣魚網站或漏洞入侵系統再做橫向移動擴大影響範圍,如此造成的攻擊破壞性強大,利用零時差攻擊成功入侵電腦後便竊取檔案加密,對備份檔案進行刪除,強化威脅力道並以公開敏感機密資料威脅勒索企業或組織,常以加密貨幣作為贖金支付。

      國際虛擬貨幣飆漲,也加劇了加密勒索事件頻繁,最近台灣設備大廠也陸續遭受機密資料被竊取勒索的重大資安威脅。企業除了加強使用者與主機管理者的資安防護警覺外(防火牆版本與設定即時更新、提升密碼設定強度、機密或客戶資料的網域做適當隔離),面對狡猾的LockBit網路攻擊手法,單一的安全防護措施是不足的。

與其被動攻擊不如主動防禦,主動式的資安防護已是當前不可或缺的防禦手法,竣盟科技的主動式欺敵、誘捕的資安防護機制近期陸續為各企業與機關單位所採納與建構,有效的資安防禦才是幫助企業降低資安風險及保護核心資產。

以下提供LockBit相關的部分的入侵指標(IOCs):

Hunters International 近期密集入侵台灣上市製造與代工業 恐引起產業供應鏈危機

兩個月內出現第三家台灣受害公司

今年4月中旬經濟日報工商時報皆報導國內電子零組件大廠群光電子遭駭客組織Hunters International 入侵,約1.2TB、414萬個檔案被竊取並加密鎖住。相隔不到一個月,大紀元時報報導Hunters International於5月中旬駭進台塑美國取得1.2TB約230萬份資料,包含訴訟文件、PII(個人識別資訊)、訴財務數、客戶數據和技術數據等。昨天(5/23) 竣盟科技在暗網發現Hunters International已公佈駭進國際知名GPU半導體大廠 NVIDIA的某合格供應鏈國內廠商(專營電子連接器/線組) 並竊取435GB的資料,約53萬個檔案。值得一提的是,Hunters International 已把檔案設置為”View”供任何可連結到其暗網的人下載。

Hunters International 近期對台的駭動異常頻繁,從台灣知名的IPO製造、代工大廠甚至到供應商做整體產業鏈入侵,竊取資料並加密鎖住資料,企圖威脅造成產業營運損失(包含重要資訊外洩)企業競爭力受影響。

Hunters International 是一個勒索軟體組織,以其廣泛而具影響力的攻擊聞名。他們針對包括醫療保健、汽車、製造、物流、金融服務、教育和食品等多個行業,展示了他們廣泛而機會主義的方法,以最大化他們的贖金要求。該組織使用各種策略和技術,借鑒了 Hive 勒索軟體的操作手冊,同時進行修改以提高可靠性和功能性。Hunters International的勒索軟體可以在 Windows 和 Linux 環境中加密檔案,在受影響的檔案上添加“.LOCKED” 副檔名,並將「Contact Us.txt」檔案留在目錄中,指導受害者如何在暗網上發起協商。

Hunters International 有一個專用洩漏站點數據洩露網站(Dedicated Leak Site-DLS),並根據國家列出受害者,利用這個平台通過威脅暴露敏感數據來壓迫受害者支付贖金。這個網站還有助於提高他們在網絡犯罪社區中的聲譽。有趣的是,Hunters International最近將他們的 DLS 移至一個表網網域名,該網域原本在2017年至2021年是合法的網站,現已被改用於Hunters International的惡意活動,該網站使用欺騙策略來掩蓋他們的真實身份,並且有跡象表明他們與尼日利亞和可能的俄羅斯有聯繫。

Hunters International勒索軟體使用各種命令行參數來實現功能和靈活性,包括指定用戶憑證進行通信、啟動日誌記錄和設置文件加密參數。他們還有一種攻擊模式,可以禁用備份和終止進程,以防止數據恢復。總而言之,Hunters International 的活動突顯了勒索軟體威脅的持久性和不斷演變的性質,強調了需要強大的網路安全措施、定期數據備份以及與執法部門的合作以減少風險。

無論是半導體或晶圓製造甚至零組件供應商,都是台灣當前重要的產業。高科技精密產業的相關數據資料是產業的核心競爭關鍵,如何做好資訊安全防護絕對是各資訊長的當務之急。

有鑑於此,政府近年來密集要求及督導相關產業落實資安合規,就是希望透過資安合規協助企業做資安健診,讓企業了解自身資安漏洞後,進而建置完整的資安防禦。當企業與供應鏈廠商之間建構安全的資安防護網後,資安無慮產業運營更順利。

有關Hunters International的部分入侵指標(Indicator of compromise -IOCs):

94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af                  

c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e                  

hunters33mmcwww7ek7q5ndahul6nmzmrsumfs6aenicbqon6mxfiqyd.onion            

hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion

麒麟出手 台灣大型代工鞋大廠疑遭竊2.12 TB 數據

2024 年 5 月 18 日,竣盟科技在勒索軟體麒麟(Qilin)的揭秘網站發現台灣某鞋子代工大廠的頁面,麒麟聲稱盜取了2.12TB的資料約一百五十萬份檔案。作為入侵的證據張貼了兩張截圖,從其中一張截圖顯示包含多款Adidas形號的價格、配方單價、開發文件、化工稽核資料等等。

麒麟也稱為「Agenda」,於 2022 年 8 月首次被發現,因使用 Rust 和 Go 編寫的勒索軟體攻擊組織而聞名,是一種高度複雜且具威脅性的網路威脅,一直活躍且處於發展之中,因使用 Rust 和 Go 編寫的勒索軟體攻擊組織而聞名。麒麟可以透過各種方法傳播,利用不同的載體來感染系統和網路。雖然麒麟的具體分發策略可能會演變,但勒索軟體常用的方法包括:

  1. 網路釣魚電子郵件:傳播勒索軟體最常見的方法之一是透過網路釣魚電子郵件。這些電子郵件通常包含惡意附件或鏈接,當毫無戒心的用戶打開或單擊時,可以啟動勒索軟體下載到系統上。
  2. 利用漏洞:勒索軟體可以透過利用軟體或作業系統中的漏洞進行傳播。攻擊者不斷掃描具有尚未修補或更新的已知漏洞的系統,並利用這些漏洞獲得未經授權的存取並部署勒索軟體。
  3. 偷渡式下載:當使用者造訪受感染或惡意網站時,就會發生偷渡式下載,導致勒索軟體在使用者不知情的情況下自動下載到其裝置上。
  4. 勒索軟體即服務 (RaaS)有些組織在 RaaS 模式下運作,將勒索軟體基礎設施出租給其他網路犯罪分子,然後由他們實施攻擊。隨著各種攻擊者利用勒索軟體,這種方法可能會導致廣泛傳播。
  5. 社會工程策略:除了網路釣魚之外,其他形式的社會工程也可用於誘騙個人安裝惡意軟體。這可能涉及透過虛假軟體更新、欺詐性技術支援電話或其他欺騙手段來操縱用戶。
  6. 網路傳播:一旦網路中的單一電腦受到感染,某些勒索軟體變體就可以在整個網路中自我傳播。他們利用網路協定或使用橫向移動技術傳播到其他連接的系統。
  7. 惡意廣告:這涉及將惡意廣告注入合法廣告網路。點擊這些廣告的使用者可能會被重新導向到託管勒索軟體的惡意網站。
  8. 使用遠端桌面協定 (RDP)攻擊者也可能使用暴力攻擊或竊取的憑證,透過遠端桌面協定 (RDP)(一種遠端管理系統的常用方法)來存取系統。
  9. 供應鏈攻擊:損害供應鏈內的軟體供應商或服務可能會導致勒索軟體分發給受感染軟體或服務的所有使用者。
  10. 可移動媒體:雖然不太常見,但勒索軟體可以透過受感染的可移動媒體(例如 USB 隨身碟)傳播。

在加密過程上,麒麟的技術已經達到了高度成熟。他們對先進加密技術的掌握對於他們成功有效地使受害者無法存取文件和資料至關重要。麒麟加密策略的核心是高級加密標準(AES),金鑰長度為256位,通常表示為AES-256。這種加密演算法因其強大的安全特性而聞名並被廣泛採用。 AES-256 因其絕對的複雜性和大量可能的加密金鑰而以其抵抗加密攻擊的能力而聞名。實際上,這意味著使用 AES-256 加密的檔案在沒有相應解密金鑰的情況下無法解密。至關重要的是,麒麟確保只有攻擊者擁有解鎖加密檔案和資料所需的唯一解密金鑰。該密鑰被安全地保存在他們的控制之下,使其成為難以捉摸且受到嚴密保護的秘密。如果沒有這個解密金鑰,解密加密檔案將成為一項巨大的挑戰。麒麟透過結合 RSA-2048 加密,進一步增強了解密過程的安全性。 RSA 以其發明者 Rivest、Shamir 和 Adleman 的名字命名,是一種廣泛使用的非對稱加密演算法。在 麒麟勒索軟體中,RSA-2048 用於加密解密金鑰本身。這為解密和恢復過程增加了額外的複雜性。實際上,RSA-2048 加密意味著加密檔案的解密金鑰不僅由攻擊者安全地持有,而且還受到計算上無法破解的加密機制的保護。 AES-256 和 RSA-2048 加密的組合為尋求重新存取其加密檔案和資料的人設置了巨大的障礙。

值得一提的是,麒麟似乎專注於滲透那些會造成巨大損失的知名目標,這也意味著麒麟擁有精心設計的攻擊系統和工具, 但有趣的是,據了解,麒麟並不像 Lockbit 等更具攻擊性的勒索軟體攻擊者那樣要求大量的的贖金。相反,麒麟的價格在 50,000 美元至 800,000 美元之間。。

過去曾遭受「麒麟」勒索軟體攻擊的著名受害者包括汽車零件巨頭延鋒澳洲法院系統。此外,2022年10月,麒麟勒索軟體曾入侵某台灣製藥大廠:

麒麟的部分入侵指標(Indicator of compromise -IOCs):

73b1fffd35d3a72775e0ac4c836e70efefa0930551a2f813843bdfb32df4579a    

e4cbee73bb41a3c7efc9b86a58495c5703f08d4b36df849c5bebc046d4681b70    

afe7b70b5d92a38fb222ec93c51b907b823a64daf56ef106523bc7acc1442e38    

dd50d1f39c851a3c1fce8abdf4ed84d7dca2b7bc19c1bc3c483c7fc3b8e9ab79

美國CISA、FBI警告醫療保健組織 警惕Black Basta勒索軟體攻擊

截至 2024 年 5 月, Black Basta 勒索軟體業者已侵入全球 500 多個組織。為了應對不斷升級的威脅,美國網路安全暨基礎設施安全局(CISA)與美國聯邦調查局(FBI)發布了聯合網路安全諮詢,警告Black Basta勒索軟體業不斷增加的活動,該組織的活動已經影響了包括醫療保健行業在內的數十個關鍵基礎設施組織。至少從 2022 年春季開始,Black Basta 就以RaaS形式運營,主要針對北美、歐洲和澳洲的眾多企業和關鍵基礎設施組織。根據聯合網路安全諮詢 AA24-131A,在長達 2 年的攻擊活動中,該組織已影響了全球 500 多個組織,突顯了提高網路安全意識和主動防禦措施的必要性。 贖金要求因目標組織而異,有報告稱贖金金額可能高達 200 萬美元。據估計,Black Basta 在不到兩年的時間內從 90多名受害者那裡獲得了超過 1.07 億美元的贖金收入。 Black Basta 通常針對製造、運輸、建築和相關服務、電信、汽車業和醫療保健提供者。著名的受害者包括南方水務公司(Southern Water)、BionPharma、M&M Industries、可口可樂、加拿大黃頁、AgCo、Capita、ABB、Merchant Schmidt、Tag Aviation、Blount Fine Foods等等。

證據表明Black Basta營運商與另一個名為FIN7的網路犯罪組織有聯繫,該組織自 2020 年以來已轉向實施勒索軟體攻擊。涉及勒索軟體的攻擊鏈依賴BITSAdmin、PsExec 和 RDP 等實用程式。他們還可以利用 Splashtop、ScreenConnect和Cobalt Strike 信標進行遠端存取。為了進行權限升級,Black Basta 使用Mimikatz等憑證抓取實用程序,還可以利用漏洞利用,例如濫用ZeroLogon、CVE-2021-42287或 PrintNightmare 已知安全漏洞。

Black Basta 勒索軟體組織利用 RClone 從受感染的系統中竊取資料。在資料外洩之前,他們往往會透過 PowerShell 和 Backstab 實用程式逃避偵測。然後,他們使用 ChaCha20 演算法和 RSA-4096 公鑰對檔案進行加密,附加隨機檔案副檔名,並留下標題為 readme.txt 的勒索字條,同時阻礙系統復原。

CISA 表示:“醫療保健組織因其規模、技術依賴性、個人健康資訊的獲取以及患者護理中斷的獨特影響而成為網路犯罪分子的有吸引力的目標。”為了降低入侵風險,防禦者建議關鍵組織安裝所有必要的軟體和韌體更新,應用多因素身份驗證,安全遠端存取工具包,並維護關鍵系統和設備配置的備份以促進復原過程。 CISA 和合作夥伴也建議應用#StopRansomware針對Black Basta指南中提供的一般緩解措施,以消除勒索軟體攻擊和資料勒索威脅的影響和可能性。隨著 Black Basta 和其他勒索軟體針對關鍵基礎設施組織的攻擊不斷增加,持續加強網路警覺性和強化防禦至關重要。

此外,FBI也公布了Black Basta的入侵指標(IOCs):

Mirai殭屍網路利用 Ivanti Connect Secure漏洞進行惡意負載傳輸

最近揭露的 Ivanti Connect Secure (ICS) 設備中的兩個安全漏洞正被用來部署臭名昭著的Mirai 殭屍網路。

根據Jupiter威脅實驗室的研究人員報告稱 ,駭客正在利用Connect Secure (ICS) 和Policy Secure 中的兩個零日漏洞(CVE-2023-46805、CVE-2024-21887)在目標網關上執行遠端任意命令。CVE-2023-46805(CVSS 評分 8.2) 存在於 Ivanti ICS 9.x、22.x 和 Ivanti Policy Secure 的 Web 元件中,是一個驗證繞過漏洞,攻擊者可透過繞過控制檢查來存取受限資源而 CVE-2024-21887 是一個命令注入漏洞(CVSS 評分 9.1),是 Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure Web 元件中的指令注入漏洞,經過身份驗證的管理員可以透過發送特製請求並在裝置上執行任意命令來利用該漏洞。攻擊者可以連結這兩個漏洞向未修補的系統發送特製請求並執行任意命令。

Ivanti發布的公告稱,如果 CVE-2024-21887 與 CVE-2023-46805 結合使用,利用該漏洞不需要身份驗證,並使攻擊者能夠製作惡意請求並在系統上執行任意命令。

據觀察到的實例攻擊者利用 CVE-2023-46805 漏洞取得端點「/api/v1/license/key-status/;」的存取權限。然後攻擊者利用命令注入漏洞來注入他們的有效負載。

以下是專家觀察到的攻擊中使用的請求:

GET /api/v1/totp/user-backup-code/../../license/keys-status/{Any Command}

觀察到攻擊者使用curl和基於Python的反向shell來利用此漏洞的實例,使他們能夠控制易受攻擊的系統。專家表示,遇到了透過 shell 腳本傳遞的 Mirai 有效負載。觀察到的請求之一包括一個編碼的 URL,解碼後會顯示一個命令序列,試圖擦除檔案、從遠端伺服器下載腳本、設定可執行權限並執行腳本。然後腳本瀏覽系統目錄,從特定 URL 下載檔案,授予執行該檔案的權限,並使用特定參數運行它。研究人員分析了有效負載,並將其識別為 Mirai機器人網路。

Photo Credit:Jupiter

研究人員進一步說,越來越多的人嘗試利用 Ivanti Pulse Secure 的身份驗證繞過和遠端程式碼執行漏洞,這對網路安全構成了重大威脅。透過這些漏洞傳播 Mirai 殭屍網路的發現突顯了網路威脅不斷變化的格局。Mirai 透過此漏洞傳播的事實也意味著其他有害惡意軟體和勒索軟體的部署也是可以預料的。因此了解如何利用這些漏洞並識別它們造成的特定威脅對於防範潛在風險至關重要。

有關Mirai殭屍網路的部分入侵指標(Indicator of compromise -IOCs):

53f6cedcf89fccdcb6b4b9c7c756f73be3e027645548ee7370fd3486840099c4

67d989388b188a817a4d006503e5350a1a2af7eb64006ec6ad6acc51e29fdcd5

9b5fe87aaa4f7ae1c375276bfe36bc862a150478db37450858bbfb3fb81123c2

3e785100c227af58767f253e4dfe937b2aa755c363a1497099b63e3079209800

5b20ed646362a2c6cdc5ca0a79850c7d816248c7fd5f5203ce598a4acd509f6b

c27b64277c3d14b4c78f42ca9ee2438b602416f988f06cb1a3e026eab2425ffc

英國NCA、美國FBI公開LockBit幕後首腦身分

執法單位宣布,他們已經識別、制裁並起訴了LockBit的幕後主使Dmitry Yuryevich Khoroshev

歷史上最臭名昭著的勒索軟體組織之一的領導者身份終於被揭露,週二(5月7日),由英國國家犯罪局(National Crime Agency-NCA))領導的執法聯盟宣布,31歲的俄羅斯公民Dmitry Yuryevich Khoroshev是暱稱“LockBitSupp”的幕後黑手,他也是LockBit勒索軟體的管理員和開發者,作為「為網路犯罪集團履行各種營運和管理職責」的一部分,Khoroshev據稱負責升級 LockBit 基礎設施、招募新的勒索軟體開發人員以及管理 LockBit 附屬成員。美國司法部也宣布對Khororshev提出起訴,指控他犯下電腦犯罪、詐欺和勒索罪。針對 Khoroshev 的行動是 NCA、FBI 和組成克諾司行動(Cronos Operation) 的國際執法工作小組對 LockBit 組織進行廣泛且持續調查的一部分。今年2 月,LockBit 基礎設施受到名為克羅諾斯行動的國際執法行動的嚴重破壞,導致兩人被捕、34 台伺服器被關閉、超過14,000 個流氓帳戶被關閉、200 多個加密貨幣帳戶被凍結。

現在,「LockBitSupp」首次被國際執法團隊揭露。在周二公佈的一份起訴書中,美國聯邦檢察官表示,Khoroshev及其下屬在掌管 LockBit(最多產的勒索軟體組織之一)的五年期間,向約 2,500 名受害者勒索了 5 億美元,其中約 1,800 名受害者位於美國,據稱Khoroshev從收入中分成了約 1 億美元。起訴書指控該俄羅斯國民犯有一項共謀實施欺詐、勒索和與電腦有關的相關活動的罪名,一項共謀實施電信詐欺的罪名,八項故意損壞受保護電腦的罪名,八項與電腦有關的勒索罪。如果罪名成立,Khoroshev最高將面臨 185 年監禁。他現在將受到一系列資產凍結和旅行禁令。除了起訴書之外,美國財政部官員以及英國和澳洲財政部官員也宣布對Khoroshev實施制裁。除此之外,美國的制裁允許官員對任何向 LockBit 集團付款或協助付款的美國人處以民事處罰。美國國務院也宣布懸賞 1000 萬美元,獎勵任何導致Khoroshev被捕和/或定罪的資訊。

英國國家犯罪局 (NCA) 在滲透 LockBit 基礎設施後發現,該組織在2022 年6 月至2024 年2 月期間發動了7,000 多次攻擊,主要針對美國、英國、法國、德國和中國的實體,其中包括100 多家醫院和醫療保健組織。超過 2,100 名受害者與該組織進行了某種形式的談判,雖然 LockBit 仍在繼續運營,但其活動目前比中斷前的水平減少了 70% 以上,至少在英國是如此。 NCA 表示,目前活躍的附屬機構不夠成熟,影響力也較小。

在打擊LockBit之前,NCA 確定了有194個使用 LockBit RaaS 的附屬成員,但自 2 月以來,這一數字已降至69 。NCA 提供了一份包含所有已發現身分的清單,其中包括新附屬成員的全名。該機構表示,目前擁有超過 2,500 個解密金鑰,並正在聯繫 LockBit 受害者,以協助他們恢復資料。

隨著克諾司行動在 10 個國家/地區執法機構的支持下繼續進行,歐洲刑警組織週二宣布,已識別出 33 個國家/地區的 3,500 多名 LockBit 受害者,強調受害者可以使用NoMoreRansom網站上提供的免費恢復工具來恢復其資料。