今年4月中旬經濟日報、工商時報皆報導國內電子零組件大廠群光電子遭駭客組織Hunters International 入侵,約1.2TB、414萬個檔案被竊取並加密鎖住。相隔不到一個月,大紀元時報報導Hunters International於5月中旬駭進台塑美國取得1.2TB約230萬份資料,包含訴訟文件、PII(個人識別資訊)、訴財務數、客戶數據和技術數據等。昨天(5/23) 竣盟科技在暗網發現Hunters International已公佈駭進國際知名GPU半導體大廠 NVIDIA的某合格供應鏈國內廠商(專營電子連接器/線組) 並竊取435GB的資料,約53萬個檔案。值得一提的是,Hunters International 已把檔案設置為”View”供任何可連結到其暗網的人下載。
Hunters International 近期對台的駭動異常頻繁,從台灣知名的IPO製造、代工大廠甚至到供應商做整體產業鏈入侵,竊取資料並加密鎖住資料,企圖威脅造成產業營運損失(包含重要資訊外洩)企業競爭力受影響。
Hunters International 是一個勒索軟體組織,以其廣泛而具影響力的攻擊聞名。他們針對包括醫療保健、汽車、製造、物流、金融服務、教育和食品等多個行業,展示了他們廣泛而機會主義的方法,以最大化他們的贖金要求。該組織使用各種策略和技術,借鑒了 Hive 勒索軟體的操作手冊,同時進行修改以提高可靠性和功能性。Hunters International的勒索軟體可以在 Windows 和 Linux 環境中加密檔案,在受影響的檔案上添加“.LOCKED” 副檔名,並將「Contact Us.txt」檔案留在目錄中,指導受害者如何在暗網上發起協商。
Hunters International 有一個專用洩漏站點數據洩露網站(Dedicated Leak Site-DLS),並根據國家列出受害者,利用這個平台通過威脅暴露敏感數據來壓迫受害者支付贖金。這個網站還有助於提高他們在網絡犯罪社區中的聲譽。有趣的是,Hunters International最近將他們的 DLS 移至一個表網網域名,該網域原本在2017年至2021年是合法的網站,現已被改用於Hunters International的惡意活動,該網站使用欺騙策略來掩蓋他們的真實身份,並且有跡象表明他們與尼日利亞和可能的俄羅斯有聯繫。
Hunters International勒索軟體使用各種命令行參數來實現功能和靈活性,包括指定用戶憑證進行通信、啟動日誌記錄和設置文件加密參數。他們還有一種攻擊模式,可以禁用備份和終止進程,以防止數據恢復。總而言之,Hunters International 的活動突顯了勒索軟體威脅的持久性和不斷演變的性質,強調了需要強大的網路安全措施、定期數據備份以及與執法部門的合作以減少風險。
無論是半導體或晶圓製造甚至零組件供應商,都是台灣當前重要的產業。高科技精密產業的相關數據資料是產業的核心競爭關鍵,如何做好資訊安全防護絕對是各資訊長的當務之急。
有鑑於此,政府近年來密集要求及督導相關產業落實資安合規,就是希望透過資安合規協助企業做資安健診,讓企業了解自身資安漏洞後,進而建置完整的資安防禦。當企業與供應鏈廠商之間建構安全的資安防護網後,資安無慮產業運營更順利。
有關Hunters International的部分入侵指標(Indicator of compromise -IOCs):
94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af
c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e
hunters33mmcwww7ek7q5ndahul6nmzmrsumfs6aenicbqon6mxfiqyd.onion
hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion