Key Points:
*日月光旗下子公司環旭電子持股100%的控股公司 Asteelflash Group 於 4月2日 公佈在IT團隊的例行檢查中發現部分伺服器感染REvil勒索軟體。
*根據TechNadu 的報導切入點疑是Microsoft RPC遠端程式呼叫服務
*根據BleepingComputer的報導, 勒索金高達2400萬美元
*此次之前,Acer也被REvil勒索軟體攻擊並被勒索5000萬美元的贖金
根據BleepingComputer的報導,REvil最初索要1200萬美元的贖金,但隨著時間過去,贖金加倍,達到2400萬美元。BleepingComputer取得了REvil與Asteelflash在Tor付款頁面上的談判對話,REvil為了證明攻擊成功,分亨了一份名為asteelflash_data_part1.7z的檔案。至此兩方之間的對話陷入僵局,沒有更多有關對贖金部分的資訊。
另外,根據TechNews,環旭電子對此一資安事件也發布聲明,指出 Asteelflash發現伺服器被感染後,及時啟動應急回應措施,避免進一步傳播擴散。雖有部分生產據點的產能受到影響,但經過 IT 人員和外部安全顧問的努力,目前 Asteelflash集團的訊息系統已恢復正常,而受影響的生產據點已全部恢復正常運營。
Revil 也稱為Sodinokibi,於2019年4月問世,成為當今世界上危害最大的和最多產和的勒索軟體之一, 根據日本資安研究員辻伸弘的統計 ,由2019年12月直至2021年3月REvil共加密了193受害公司。
另外,值得關注的是,REvil勒索軟體已演變能通過網路將目標電腦重啟動到安全模式 (Safe mode) 來運作以逃避/disable EDR,附上Malware Hunter team研究人員發現 REvil 的最新sample如下 :
Argument: -smode
有關REvil的情資,請參考如下:
https://otx.alienvault.com/pulse/60620612447fce2d8297e899