在大規模攻擊巴西法院系統後,受到極大關注的勒索軟體RansomExx,現又藉加密Linux系統來擴大業務版圖!

這張圖片的 alt 屬性值為空,它的檔案名稱為 ransomEXX-1024x665.png

資安研究員發現首次一種規模比較大的 Windows 勒索軟體被移植到 Linux 系統,以進行有針對性的入侵,卡巴斯基的研究人員分析了Linux版本的RansomExx勒索軟體,RansomExx也被稱為Defray777,是一種相對較新的勒索軟體,於今年6月初首次被發現,同時也是一種人為操作勒索軟體(Human-operated ransomware),這意味著攻擊者在獲得對目標網路的訪問權限後便得手動感染系統。

RansomExx於2020年6月對德州運輸部的發動了攻擊; 8月攻擊了柯尼卡美能達(Konica Minolta);9月對美國政府承包商泰勒技術公司(Tyler Technologies) 發動了攻擊;以及最近對巴西法院系統(STJ)的攻擊

最近發現當針對Linux伺服器時,RansomExx會部署一個名為“ svc-new”的ELF可執行檔,用於加密受害者的伺服器。

根據卡巴斯基:經過初步分析,我們注意到Trojan木馬的程式碼,勒索信件的文字和勒索方法的相似之處,這表明我們已經遇到了以前已知的勒索軟體家族RansomEXX的Linux版本。研究員說在啟動後該木馬會生成一個256位密鑰,並使用它來加密屬於受害者的所有檔案,這些檔案可以使用ECB模式下的AES分組密碼來訪問。AES密鑰通過嵌入特洛伊木馬程式中的公共RSA-4096密鑰進行加密,並附加到每個加密檔案中。

但專家指出,RansomEXX缺乏Trojan木馬的其他功能,如C2通信,反分析功能以及殺死進程的功能,也與Windows版本不同,Linux版本不會擦除可用空間。

專家注意到,當受害者支付贖金時,他們將同時獲得Linux和Windows解密工具,以及相應的RSA-4096私鑰和嵌入在執行檔中的加密文件副檔名。

最近Linux版本的IOC:

aa1ddf0c8312349be614ff43e80a262f

早期Windows版本的IOC:

fcd21c6fca3b9378961aa1865bee7ecb

RansomExx勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fa577b4aa9de26c3b347142

Source: https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/?es_p=12938065

*****竣盟科技快報歡迎轉載,但請註明出處

遊戲大廠卡普空(Capcom)遭Ranger Locker加密,被盜1TB 數據! 其熱賣遊戲包含快打旋風、惡靈古堡、洛克人、魔物獵人系列等經典又賣座!

日本遊戲開發商遭受了勒索軟體攻擊,Ragnar Locker勒索軟體的背後操作駭客稱他們是從在卡普空美國,日本和加拿大的公司網路中竊取了1TB敏感數據。

Photo credit to BleepingComputer

昨天,Capcom宣布他們在2020年11月2日遭受了網路攻擊,導致其部分公司網路暫停以防止攻擊蔓延。據了解,昨天卡普空並未透露網路攻擊的詳細資訊,今在資安研究員pancak3lullz發現了勒索軟體樣本,證實操作Ragnar Locker的駭客對卡普空進行了攻擊。BleepingComputer也取得了Ragnar Locker對卡普空勒索的信件。如下圖:

勒索信中包含七個print.sc 的URL,顯示被盜檔案的截圖,包括員工離職協議,日本護照,八月份的Steam銷售報告,銀行對賬單,承包商協議以及AA用戶和卡普空Windows網域的電腦MMC的截圖。下圖為被盜的卡普空2020年8月Steam銷售報告:

勒索信也包含Ragnar Locker Tor談判站點的連結,卡普空可以在該站點與攻擊者討論贖金。目前卡普空尚未使用聊天頁面,另資安研究員pancak3lullz對BleepingComputer表示,Ragnar Locker聲稱已經在Capcom的網路上加密了2,000台設備,並要求提供1100萬美元的比特幣作為交換解密工具。贖金還包括承諾刪除所有被盜數據以及提供網路滲透安全報告。

Ragnar Locker今年4月攻擊了包括對葡萄牙跨國能源巨頭Energias de Portugal,要求1090萬美元的贖金。9月,他們攻擊了了法國海上運輸和物流公司CMA CGM,導致網路和運營大量停工。另今也傳出意大利飲料供應商Campari受到Ragnar Locker攻擊,並已關閉了很大一部分IT網路。

Ragnar Locker勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5ee0fecd7663ca5837037ea0

#情資才是王道

*****竣盟科技快報歡迎轉載,但請註明出處

全球知名遊戲公司卡普空Capcom遭受網路攻擊,造成業務受影響

日本卡普空株式會社(株式会社カプコン)是一家全球知名的電子遊戲開發商與發行商,其多款經典遊戲如魔物獵人系列、快打旋風、惡靈古堡、洛克人等賣座又叫好。

卡普空在其官方網站發布了《關於由於未經授權的訪問導致系統故障的通知》指出自2020年11月2日凌晨起,我們的某些系統出現問題,導致難以訪問郵件系統和檔案伺服器。在確定這是一次網路攻擊之後,他們停止了部分公司網路以防止攻擊蔓延。該公司已確認這是由於第三方未經授權的訪問,並且自11月2日起已停止內部網路的某些營運。

自攻擊以來,卡普空一直在其網站上顯示通知,警告用戶由於攻擊會影響電子郵件系統,因此電子郵件和檔案的request將無法正常運作。但同時表示這次攻擊並未“對玩我們遊戲或訪問我們的網站的互聯網連接造成影響"

卡普空進一步表示,目前沒有跡象表明有任何客戶數據被盜。另外,如果這次網路攻擊是一種勒索軟體攻擊,那麼在部署勒索軟體之前,很有可能他們公司的數據已經被盜。

自2019年以來,勒索軟體的駭客組織一直在利用雙重勒索策略在加密設備之前竊取未加密的數據。威脅受害公司如果不支付贖金,就會在暗網公開發布這些被盜數據。

儘管Capcom並未表示這是勒索軟體攻擊,但根據消息人士告訴BleepingComputer,卡普空在8月遭受了TrickBot的感染,有可能是Ryuk或Conti勒索軟體的攻擊。另外,REvil勒索軟體的背後操作駭客, 曾於最近表示他們入侵了大型遊戲公司,並將很快宣布,目前尚不清楚這是否與卡普空的網路攻擊有關。

*****竣盟科技快報歡迎轉載,但請註明出處