RansomHub再度入侵上市企業 台灣知名日系電機廠商機敏資料疑遭竊

RansomHub勒索軟體組織宣稱竊取總計500 GB的資料,其中包括產品設計圖

竣盟科技 日前發現RansomHub勒索軟體集團攻擊台灣某大出版廠商之後,台灣老牌日系電機廠商又驚傳成為RansomHub的攻擊目標。

據勒索軟體集團暗網所洩資料,其中包含該台灣電機廠商的10張產品設計圖及廠房圖紙等。相關資料亦透露這次駭客行動所竊之資料達500 GB,另外勒索軟體集團指定的贖金期限為9月9日。

RansomHub 是今年初才興起的勒索軟體集團,然而崛起之勢非常驚人,台灣陸續受到波及的企業就有三家,前後包括知名上市公司藍天電腦、某大教科書/出版廠商,以及這次的日系電機廠商,情勢不容小覷。

自2024 年2 月開始活動以來,RansomHub 已加密並竊取了至少210 個受害企業組織的資料,這些受害單位包括用水和汙水處理、資訊產業、政府單位、醫療保健和公共衛生機構、緊急服務、糧食和農業、金融服務機構、商業設施、製造業、運輸和通訊等重要基礎設施領域。

根據美國網路安全暨基礎設施安全局CISA 於8月29日發布的資料,RansomHub 隸屬團體通常會使用網路釣魚電子郵件 [ T1566 ]、利用已知漏洞 [ T1190 ] 和密碼噴灑攻擊 (Password spraying) [ T1110.003 ]等方法來侵害對向網際網路系統 (internet facing systems) 和使用者端點。而密碼噴灑攻擊的目的是侵入鎖定之帳戶,然後進一步造成資料外洩。

也發現RansomHub集團使用AngryIPScanner、Nmap等工具進行網路掃描,還有一種利用所謂living off the land (利用受害電腦裡現成的工具,來執行攻擊行動的有關任務)攻擊手法,是透過PowerShell來執行網路掃描[ T1018 ][ T1046 ][ T1059.001 ]。

自今年年初以來,RansomHub 聲稱已成功駭入包括美國非營利信用合作社Patelco、連鎖藥局Rite Aid佳士得拍賣行、美國電信商Frontier Communications和石油產業巨擘哈里伯頓等公司。Frontier Communications 隨後也發出通知警告共計超過 75 萬名客戶,他們的個人資訊因這次事件而遭到外洩。

FBI、CISA、跨州資訊共享和分析中心 (MS-ISAC) 以及衛生及公共服務部 (HHS) 發布的聯合公告也證實,網路攻擊者是以雙重勒索的方式展開攻擊行動。

這些聯邦政府機構建議,企業組織應該優先致力於修補已經被利用的漏洞,並且針對網路郵件、虛擬私人網路 (VPN) 和連結到重要系統的帳戶都要使用高強度密碼和多因子驗證 (MFA)。同時也建議保持軟體更新並執行弱點掃描,並將其作為資訊安全規範的標準程序。

聯邦機構補充道:「不鼓勵受害企業支付贖金,因為支付贖金並不能保證受害者的檔案資料會完全復原。」

「除此之外,支付贖金還可能促使駭客集團更大膽地去對其他企業組織發動攻擊,同時也間接鼓勵其他網路犯罪者去參與勒索軟體的散布或是資助這類非法活動。」

RansomHub勒索軟體相關的部分的入侵指標(IOCs):
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