微軟警告:Scattered Spider駭客集團採用 RansomHub 和 Qilin 等勒索軟體進行網路攻擊

Scattered Spider是最危險的金融駭客組織之一,具有先進的社交工程攻擊能力

Scattered Spider 使用的勒索軟體攻擊手法  Photo Credit: Microsoft

根據微軟威脅情報團隊警告,Scattered Spider (又被稱為Octo Tempest) 駭客集團已添加最新攻擊手法,包括RansomHub和Qilin等勒索軟體皆是他們目前使用的攻擊武器。

Scattered Spider集團於2022年首次出現,其特點是使用先進的社交工程技術以及進行個資(ID)入侵,攻擊目標鎖定 VMware ESXi 伺服器並且部署 BlackCat 勒索軟體。它也是去年對Caesars Palace (凱撒皇宮) 和MGM Entertainment (米高梅娛樂公司) 進行大規模勒索軟體攻擊的幕後黑手。

去年11月,FBI 和 CISA (美國網際安全暨基礎設施安全局) 發布了一份公告,重點介紹了 Scattered Spider 的策略、技術和程序 (TTPs)。其中包括冒充資訊廠商員工,來誘使客戶服務人員向他們提供憑證或使用遠端存取工具以入侵目標網路。已知他們用於網路存取的其他策略還包括網路釣魚、MFA bombing (多因子驗證轟炸式攻擊) 和 SIM swapping (SIM卡交換攻擊)。

在2022 年Qilin 勒索軟體曾經以不同的名稱「Agenda」出現過,但很快就更名了。據微軟所稱,該組織已針對130 多家公司進行了攻擊並宣稱是幕後主使,索要的贖金從25,000 美元到數百萬美元不等,並且正在開發一種特製規格的Linux 加密器,針對目標就是VMware ESXi 伺服器。同時, RansomHub是一種勒索軟體服務 (RaaS) 產品,越來越受到網路攻擊者的青睞,這使其成為當今最廣泛運用的勒索軟體之一。

與許多其他針對企業的勒索軟體組織一樣,他們運用Qilin勒索軟體以滲透到公司的網路並在其網路系統中橫向移動,竊取重要資料。在獲得管理員憑證並收集所有敏感資料後,他們部署勒索軟體來將所有網路設備進行加密,並利用竊取的資料進行雙重勒索。

上個月,英國國家網路安全中心 (NCSC) 執行長將6月初醫療機構Synnovis遭到網路襲擊歸因為Qilin勒索軟體攻擊 ,該攻擊事件影響了倫敦的幾家主要 NHS(國民保健署) 醫院,迫使它們取消了數百件手術和預約門診。

微軟威脅情報團隊所進行的資安事件調查之中,Scattered Spider集團占了很大的比例,那是因為微軟團隊處理的異常事件回應,很多是由Scattered Spider所主導的攻擊。該集團首次的「oktapus」攻擊事件因為針對 130 多個知名企業而引發廣泛關注,而藉由了解這些案例進一步有所防備是必要的。

RansomHub相關的部分的入侵指標(IOCs):

02e9f0fbb7f3acea4fcf155dc7813e15c1c8d1c77c3ae31252720a9fa7454292

104b22a45e4166a5473c9db924394e1fe681ef374970ed112edd089c4c8b83f2

2f3d82f7f8bd9ff2f145f9927be1ab16f8d7d61400083930e36b6b9ac5bbe2ad

34e479181419efd0c00266bef0210f267beaa92116e18f33854ca420f65e2087

36e5be9ed3ec960b40b5a9b07ba8e15d4d24ca6cd51607df21ac08cda55a5a8e

595cd80f8c84bc443eff619add01b86b8839097621cdd148f30e7e2214f2c8cb

7114288232e469ff368418005049cf9653fe5c1cdcfcd63d668c558b0a3470f2

7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a

8f59b4f0f53031c555ef7b2738d3a94ed73568504e6c07aa1f3fa3f1fd786de7

a96a0ba7998a6956c8073b6eff9306398cc03fb9866e4cabf0810a69bb2a43b2

e654ef69635ab6a2c569b3f8059b06aee4bce937afb275ad4ec77c0e4a712f23

ea9f0bd64a3ef44fe80ce1a25c387b562a6b87c4d202f24953c3d9204386cf00

f1a6e08a5fd013f96facc4bb0d8dfb6940683f5bdfc161bd3a1de8189dea26d3

fb9f9734d7966d6bc15cce5150abb63aadd4223924800f0b90dc07a311fb0a7e