麒麟出手 台灣大型代工鞋大廠疑遭竊2.12 TB 數據

2024 年 5 月 18 日,竣盟科技在勒索軟體麒麟(Qilin)的揭秘網站發現台灣某鞋子代工大廠的頁面,麒麟聲稱盜取了2.12TB的資料約一百五十萬份檔案。作為入侵的證據張貼了兩張截圖,從其中一張截圖顯示包含多款Adidas形號的價格、配方單價、開發文件、化工稽核資料等等。

麒麟也稱為「Agenda」,於 2022 年 8 月首次被發現,因使用 Rust 和 Go 編寫的勒索軟體攻擊組織而聞名,是一種高度複雜且具威脅性的網路威脅,一直活躍且處於發展之中,因使用 Rust 和 Go 編寫的勒索軟體攻擊組織而聞名。麒麟可以透過各種方法傳播,利用不同的載體來感染系統和網路。雖然麒麟的具體分發策略可能會演變,但勒索軟體常用的方法包括:

  1. 網路釣魚電子郵件:傳播勒索軟體最常見的方法之一是透過網路釣魚電子郵件。這些電子郵件通常包含惡意附件或鏈接,當毫無戒心的用戶打開或單擊時,可以啟動勒索軟體下載到系統上。
  2. 利用漏洞:勒索軟體可以透過利用軟體或作業系統中的漏洞進行傳播。攻擊者不斷掃描具有尚未修補或更新的已知漏洞的系統,並利用這些漏洞獲得未經授權的存取並部署勒索軟體。
  3. 偷渡式下載:當使用者造訪受感染或惡意網站時,就會發生偷渡式下載,導致勒索軟體在使用者不知情的情況下自動下載到其裝置上。
  4. 勒索軟體即服務 (RaaS)有些組織在 RaaS 模式下運作,將勒索軟體基礎設施出租給其他網路犯罪分子,然後由他們實施攻擊。隨著各種攻擊者利用勒索軟體,這種方法可能會導致廣泛傳播。
  5. 社會工程策略:除了網路釣魚之外,其他形式的社會工程也可用於誘騙個人安裝惡意軟體。這可能涉及透過虛假軟體更新、欺詐性技術支援電話或其他欺騙手段來操縱用戶。
  6. 網路傳播:一旦網路中的單一電腦受到感染,某些勒索軟體變體就可以在整個網路中自我傳播。他們利用網路協定或使用橫向移動技術傳播到其他連接的系統。
  7. 惡意廣告:這涉及將惡意廣告注入合法廣告網路。點擊這些廣告的使用者可能會被重新導向到託管勒索軟體的惡意網站。
  8. 使用遠端桌面協定 (RDP)攻擊者也可能使用暴力攻擊或竊取的憑證,透過遠端桌面協定 (RDP)(一種遠端管理系統的常用方法)來存取系統。
  9. 供應鏈攻擊:損害供應鏈內的軟體供應商或服務可能會導致勒索軟體分發給受感染軟體或服務的所有使用者。
  10. 可移動媒體:雖然不太常見,但勒索軟體可以透過受感染的可移動媒體(例如 USB 隨身碟)傳播。

在加密過程上,麒麟的技術已經達到了高度成熟。他們對先進加密技術的掌握對於他們成功有效地使受害者無法存取文件和資料至關重要。麒麟加密策略的核心是高級加密標準(AES),金鑰長度為256位,通常表示為AES-256。這種加密演算法因其強大的安全特性而聞名並被廣泛採用。 AES-256 因其絕對的複雜性和大量可能的加密金鑰而以其抵抗加密攻擊的能力而聞名。實際上,這意味著使用 AES-256 加密的檔案在沒有相應解密金鑰的情況下無法解密。至關重要的是,麒麟確保只有攻擊者擁有解鎖加密檔案和資料所需的唯一解密金鑰。該密鑰被安全地保存在他們的控制之下,使其成為難以捉摸且受到嚴密保護的秘密。如果沒有這個解密金鑰,解密加密檔案將成為一項巨大的挑戰。麒麟透過結合 RSA-2048 加密,進一步增強了解密過程的安全性。 RSA 以其發明者 Rivest、Shamir 和 Adleman 的名字命名,是一種廣泛使用的非對稱加密演算法。在 麒麟勒索軟體中,RSA-2048 用於加密解密金鑰本身。這為解密和恢復過程增加了額外的複雜性。實際上,RSA-2048 加密意味著加密檔案的解密金鑰不僅由攻擊者安全地持有,而且還受到計算上無法破解的加密機制的保護。 AES-256 和 RSA-2048 加密的組合為尋求重新存取其加密檔案和資料的人設置了巨大的障礙。

值得一提的是,麒麟似乎專注於滲透那些會造成巨大損失的知名目標,這也意味著麒麟擁有精心設計的攻擊系統和工具, 但有趣的是,據了解,麒麟並不像 Lockbit 等更具攻擊性的勒索軟體攻擊者那樣要求大量的的贖金。相反,麒麟的價格在 50,000 美元至 800,000 美元之間。。

過去曾遭受「麒麟」勒索軟體攻擊的著名受害者包括汽車零件巨頭延鋒澳洲法院系統。此外,2022年10月,麒麟勒索軟體曾入侵某台灣製藥大廠:

麒麟的部分入侵指標(Indicator of compromise -IOCs):

73b1fffd35d3a72775e0ac4c836e70efefa0930551a2f813843bdfb32df4579a    

e4cbee73bb41a3c7efc9b86a58495c5703f08d4b36df849c5bebc046d4681b70    

afe7b70b5d92a38fb222ec93c51b907b823a64daf56ef106523bc7acc1442e38    

dd50d1f39c851a3c1fce8abdf4ed84d7dca2b7bc19c1bc3c483c7fc3b8e9ab79