於 2023 年第三季才出現,名為Hunters International的新勒索軟體團隊已獲取了Hive勒索軟體(已遭美國FBI瓦解)的原始碼和基礎設施,並發起了屬於Hunters International的攻擊,最近(11月14日) 竣盟科技發現Hunters International的揭秘網站聲稱攻擊了台灣某大上市生醫集團,將其列入受害者名單,Hunter International稱已盜取約236GB的資料,約超過十萬個檔案,據稱當中檔案的範圍包含客戶投訴數據-資料庫備份檔(HR相關、CRM相關和其他)-財務數據(付款、報告、審計等)-營業單位數據(訂單,產品配方,實驗室測試,包裝等) – 美國子公司數據(網路設置、稽核、供應商、員工數據等)-客戶數據(訂單、混合配方、產品處方、實驗室測試、郵件等。
根據Bitdefender技術解決方案總監 Martin Zugec 在一份報告中表示:“ Hive 團隊的領導層已做出停止運營並將剩餘資產轉移給另一個團隊 Hunters International 的戰略決策。 ”為了保持連續性並避免執法調查,勒索軟體背後的駭客者經常進行品牌重塑、重組或重新定位其業務等變化。這項轉變非常重要,因為不僅是操作知識,連原始碼也被轉移,這毫無疑問為 Hunters International提供了一套完全開發的工具來啟動其惡意操作。上個月下旬,資安研究員@rivitna2率先偵測到 Hunters International 和 Hive 勒索軟體樣本之間的程式碼相似性。另一個資安研究員@BushidoToken還發現了多個程式碼重疊和相似之處,報告兩組碼程式碼之間至少有 60% 的匹配度。資安全產業最初的共識是 Hunters International 是 Hive 的更名版本,這是網路犯罪分子在重大破壞後經常觀察到的做法。
然而,Hunters International在一份不同尋常的聲明中回應了這些猜測,這是該組織迄今為止唯一的聲明。他們宣稱,他們不是 Hive 的更名版本,而是一個獨立的勒索軟體組織,只是從 Hive 獲取了原始碼和基礎設施。
值得指出的是Hunters International與其他勒索軟體組織的區別在於,即其主要重點是資料外洩。這個新組織的勒索軟體攻擊不僅涉及勒索,還涉及提取有價值的資訊。有趣的是,儘管所有受害者的資料都被盜取,迄今為止,資料從未被加密。程式碼分析也顯示 Hunters International 的開發人員簡化了程式碼。Hunters International 試圖透過減少命令列參數、更簡潔的惡意軟體和簡化的加密金鑰儲存方法來簡化其攻擊。不相關的檔案名稱、檔案副檔名或目錄不會被加密,該勒索軟體還專門攻擊備份和復原功能。目標是停用備份並停止復原。這種對勒索軟體概念的全新詮釋將Hunters International繪成一個更像敲詐勒索的組織。
Hunters International的部分入侵指標(Indicator of compromise -IOCs):
hunters33mmcwww7ek7q5ndahul6nmzmrsumfs6aenicbqon6mxfiqyd.onion
hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion
c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e
94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af
竣盟科技建議針對勒索軟體的應對措施:
*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。
*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。
*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。
*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。
*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。
*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階欺敵系統等產品,可以早期發現,並防止威脅擴散。
對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。
*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。
“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”