月份: 2021 年 5 月

負責美國東岸近一半燃油供應的Colonial Pipeline遭Darkside勒索軟體攻擊,5月7日突然宣布關閉整個輸送網路,迄今仍未恢復

Posted on by blogadmin

美國最大燃油管道公司Colonial Pipeline在5月7日遭駭客攻擊,在兩小時內被盜取近100GB數據,並植入惡意程式加密數據鎖住系統,需要全面關閉人口稠密的東岸各州供應的關鍵燃料網路,影響美國東岸接近一半的燃油供應。據美國政府官員等消息人士指,相信駭客來自俄羅斯犯罪集團並使用DarkSide勒索軟體。Colonial Pipeline公司已聘請第3方資安公司調查,並已通知聯邦政府及執法部門。

DarkSide在黑暗網上的網站
DarkSide在暗網上的網站詳細自我介紹
DarkSide勒索信的樣本

Colonial Pipeline官方聲明指,電腦系統遭網攻,需暫停所有燃油管道運作,以避免發生意外並控制威脅。公司隨後確認,事件涉及勒索軟體。Colonial Pipeline屬美國最大的燃油管道公司,設有長達5,500英里的管道,將燃料從墨西哥灣沿岸運送至美國東南部,更佔東岸燃料45%供應,服務5,000萬民眾,包括美國軍方。Colonial Pipeline每天從美國墨西哥灣沿岸的煉油帶向東海岸輸送汽油、柴油和航空燃料,每天可從休斯敦向遠到北卡羅來納州輸送約250萬桶,另可向紐約輸送90萬桶,其廣泛的管道網路服務於美國主要機場,包括亞特蘭大的機場,這是全球客流量最高的機場。

DarkSide過往亦曾針對巴西兩家國營電力公司進行類似的網路攻擊,使電力供應受影響。有專家表示,勒索軟體攻擊工業的事件比想像中更頻繁發生,但相關消息甚少獲得報道。

白宮亦對此發表聲明,表示總統拜登(Joe Biden)已聽取事件簡報,聯邦政府正努力評估影響,盡力協助Colonial Pipeline恢復運作,避免燃料供應中斷。美國能源部發言人表示,正與Colonial Pipeline,州政府,能源業人士及多個政府部門合作,支援Colonial Pipeline維持服務,並監察能源供應是否有受影響。

有關DarkSide的情資,請參考如下:

https://otx.alienvault.com/pulse/60821a187be8d208269c103c

https://otx.alienvault.com/pulse/5d5d6e09e5809a8cb83bcea1

Source:

https://www.washingtonpost.com/business/2021/05/08/cyber-attack-colonial-pipeline/

https://www.worldoil.com/news/2021/5/9/oil-traders-work-to-avert-shortages-from-us-pipeline-hack

https://www.bloomberg.com/news/articles/2021-05-09/colonial-hackers-stole-data-thursday-ahead-of-pipeline-shutdown

https://www.nbcnews.com/politics/national-security/russian-criminal-group-may-be-responsible-colonial-pipeline-ransomware-attack-n1266793

得不償失!Ryuk勒索軟體通過一名學生安裝盜版軟體後,獲得切入點,使一家在歐洲從事COVID-19的生物分子研究機構,損失了研究數據。

Posted on by blogadmin

大多數勒索軟體的感染途徑是使用網路釣魚,然後再針對具有漏洞的伺服器。但是歐洲出現了一起新案例,根據安全公司Sophos的說法,一名能夠存取歐洲研究機構網路的學生在安裝了盜版軟體後暴露了他的登錄憑證,該盜版軟體也被證實是盜竊密碼的惡意軟體。歐洲一家未具名的生物分子研究所的學生在安裝了一個“破解”軟體後,意外地為該研究所打開了被勒索軟體攻擊的大門。

該研究所一直在進行COVID-19研究,並與歐洲當地大學建立了緊密的合作關係,使學生能夠通過Citrix的遠端存取客戶端連接到該機構的內部網路。不幸的是,一個可以存取網路的學生下載了一個盜版軟體,這使研究機構受到攻擊。

據Sophos稱,這位不願透露姓名的學生,想擁有一個在研究工作中使用data visualization 的軟體,但該軟體license每年需花費數百美元,該學生搜索了可在Windows電腦上使用的“破解版” 軟體下載並安裝。該檔案實際上是純惡意軟體,並在下載安裝過程中觸發了Windows Defender發送了安全警報,但該學生仍繼續下載並disable了Windows防病毒程式和電腦上的防火牆。

在下載成功後該學生得到的不是惡意破解的可視化工具,而是一個竊取資料的惡意軟體(info-stealer),一旦安裝,就開始記錄按鍵動作,竊取瀏覽器,Cookie和剪貼板數據等等,因而也找到了學生對研究機構網路的存取憑據。

Sophos推測,竊取資料的惡意軟體的背後駭客,將登錄憑據出售給臭名昭著的Ryuk勒索軟體的背後駭客。在安裝了盜版軟體的13天後,利用學生的登錄憑證與研究機構建立了神秘的遠端桌面(RDP)連接。研究人員指出,這連接是通過一台名為龍貓(Totoro)的電腦進行的,“在建立這種連接的十天後,部署了Ryuk勒索軟體”,Sophos補充說。

這次事件,由於備份尚未完全更新,該研究機構損失了一周的研究數據。此外,在研究所恢復正常運作之前,必須從頭開始重建系統和伺服器檔案。

有關Ryuk的情資,請參考如下:

https://otx.alienvault.com/pulse/602d94a51d5a1e11cc85feef

https://otx.alienvault.com/pulse/5f99dd6b17da45dfb9dc296e

https://otx.alienvault.com/pulse/5ff75814478f6984b7bf5515

https://otx.alienvault.com/pulse/606dc14b4af856929a578e3a

Source:

MTR in Real Time: Pirates pave way for Ryuk ransomware