據觀察,竣盟科技於6月14日在勒索軟體古巴(Cuba)的Tor揭秘網站上,發現該勒索軟體集團宣稱加密了總部在新竹科學園區的某無晶圓業IC設計業者,該業者長期耕耘利基型DRAM記憶體和系統晶片等產品之開發設計、銷售與技術服務,是全球純IC設計企業Fabless 50強之一。
操作勒索軟體古巴的駭客稱已在6月1日竊取該半導體公司的原始程式碼,財務文件、與銀行員工的通信、帳戶移動活動、資產負債表、稅務檔、薪酬等資料,但尚未透露數據量、或贖金價格。不過這項消息尚未獲得業者的證實,目前該公司亦沒有在公開資訊觀測站針對這次駭客的發布重大訊息。
Cuba 勒索軟體於2020 年 2 月首次被發現,主要是透過Hancitor惡意程式散布,利用釣魚郵件、微軟Exchange漏洞、盜來的憑證或RDP工具來獲得對脆弱的Windows系統的存取,成功入侵之後再部署後門程式,最後才執行Cuba勒索軟體。去年 12 月美國聯邦調查局 (FBI)警告說,勒索軟體古巴成功入侵了美國五個重大基礎設施(包括金融、政府、醫療保健、製造業和資訊科技部門)的49個實體,至少賺取了4390萬美元的贖金。雖然攻擊的數量相較其他勒索軟體少,但其選擇性的攻擊,往往只針對大型企業或組織,顯示了其瞄準性攻擊的策略。
根據TrendMicro的研究報告,今年4 月下旬,觀察到勒索軟體古巴的新變種,一個新二進制檔案包括一些少量的功能添加和更改,表明古巴仍然積極開發並優化其加密工具。目前古巴可在加密前,終止更多進程包括Outlook、MS Exchange 和 MySQL等,以防止這些應用程式防礙其加密的執行。其次,古巴已擴充其exclusion list,排除加密以下安全清單目錄和副檔名的檔案:
古巴的變種是否意味著該勒索軟體集團將接下來對企業發動更多的攻勢,值得我們繼續關注,此次之前,我國企業沒曾傳出遭古巴勒索攻擊的資安事件。
有關勒索軟體古巴的部分入侵指標(Indicator of compromise -IOCs):
SHA 256
89288de628b402621007c7ebb289233e7568307fb12a33aac7e834504c17b4af
b14341b1ffe9e2730394b9066c6829b4e2f59a4234765ae2e97cfc6d4593730a
79d6b1b6b1ecb446b0f49772bf4da63fcec6f6bfc7c2e1f4924cb7acbb3b4f53
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”