LockBit為攻擊加拿大Sickkids醫院道歉,首次釋出免費解密工具,專家稱醫院仍需數月完全恢復系統

臭名昭著的LockBit勒索軟體集團,在承認其會員(Affiliate) 之一是加拿大最大兒科醫院(Sickkids) 網路攻擊的幕後黑手後,罕見地道歉並免費釋出解密工具給與受害醫院。12 月 18 日,多倫多病童醫院 (SickKids ) 遭到勒索軟體攻擊,導致該機構無法存取其許多關鍵系統,該事件影響了醫院內部系統、醫院電話線路和網站。雖然這次攻擊只加密了幾個系統,但 SickKids表示,該事件導致實驗室和影像系統的接收延遲,導致患者等待時間的增加,該醫院同時發出了灰色代碼(Code Grey)警示。截至 12 月 29 日,SickKids說它已重新恢復近 50% 的優先系統(Priority system),包括那些導致診斷和治療延誤的系統。12 月 31 日,LockBit 勒索軟體集團在其揭秘網站發出道歉聲明,LockBit 為這次攻擊道歉並發布了解密工具,LockBit道,“我們對加拿大Sickkids醫院的攻擊正式道歉,並免費提供解密工具,攻擊這家醫院的會員違反了我們的規定,已被封鎖,不能再加入我們的會員聯盟中。”

LockBit為Sickkids醫院提供解密工具
LockBit向Sickkids醫院道歉,SickKids 是多倫多的一家教學和研究醫院,專注於為患病兒童提供醫療保健。

根據Bleeping Computer的及報導,解密工具明顯地只適用於Linux/VMware ESXi系統,不支援 Windows,這表明 LockBit的會員只加密了醫院網路上的虛擬機。Sickkids在 1 月 1日表示,在獲悉勒索軟體組織在網上發布的聲明,其中包括提供免費解密工具以恢復受網路攻擊事件影響的系統,已聘請第三方專家來驗證和評估解密工具,並補充說他們沒有支付任何贖金。目前尚不清楚,為什麼 LockBit花了將近兩週的時間才向 SickKids 提供免費解密,值得注意的是,在過去LockBit也曾針對醫院發動攻擊但並沒有釋出解密工具的紀錄,。例如,在2022年8 月,LockBit向法國醫院 Centre Hospitalier Sud Francilien勒索1000萬美元的贖金在醫院拒付後和最終外洩患者數據。2022年6 月,日本德島縣鳴門市醫院遭LockBit入侵,導致電子病歷無法存取。

Lockbit勒索軟體集團以勒索軟體即服務(Ransomware as a service,RaaS) 的操作來運營,負責建立及維護勒索軟體、加密工具和網站,其會員負責入侵受害者的網路、竊取數據和加密設備,該集團從所有贖金中抽取 20%作為報酬,其餘80%則交給會員。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

北韓APT駭客利用網路釣魚,攻擊了近900百南韓名外交政策專家

Key Points:

*南韓當局表示,這些攻擊誘使一些受害者登錄虛假網站,將他們的登錄詳細資料暴露給攻擊者

*南韓國家情報局認為,自 2017 年以來,北韓在全球竊取了約360億台幣的加密貨幣

南韓國家警察廳報告稱,北韓對南韓至少 892 名外交政策專家進行了網路攻擊,目標是他們的個人資料與電子郵件清單,並對在線上商城進行勒索軟體攻擊。據南華早報報導,這些攻擊始於 4 月,主要針對智庫專家和教授。駭客從多個假冒名人的帳戶,發送網路釣魚電子郵件,其中包括五月時遭冒用的南韓執政黨國民力量國會議員太永浩辦公室秘書,以及十月南韓培訓涉外人員的國立外交院一名官員,這些電郵通常包括一個假網站的連結,或帶有病毒的附件,開啟後便發動攻擊。該機構表示在 892 名目標中,有 49 人最終存取了假網站並登錄,允許駭客滲透和監控他們的電郵帳號並下載數據。南韓警方表示,北韓駭客在 26 個國家/地區使用了 326 台代理伺服器,並清洗了他們的 IP 位址,使其難以在線追踪。

除了外交政策專家外,據信還攻擊了存在網路安全漏洞的購物網站,13家公司使用的19台伺服器遭加密,今年也是南韓首次發現北韓駭客使用勒索軟體。據報導,其中兩家公司向該組織支付了價值 250 萬韓元(約合台幣六萬五千元)的比特幣作為贖金,警方懷疑這些駭客與2014年攻擊南韓水電與核電公司的幕後黑手Kimsuky同個組織。當局指出攻擊的來源IP 位址、駭客使用外國網站誘騙目標、代理伺服器的滲透及管理,使用北韓用語,以及針對外交、兩韓統一、國安與國防專家攻擊等事實,有理由相信是北韓駭客組織Kimsuky所為。

國家情報院 (NIS) 還預測包含的網路攻擊將在明年繼續,國家反網路恐怖情報院副院長Lee Gyu-bong預測 2023 年該國網路安全面臨的潛在威脅,包含來自和中國等國家級的駭客組織將繼續攻擊南韓,以竊取南韓與網路安全相關的技術如核能業、太空、半導體、國防以及與美國針對北韓的聯合戰略。

此外,Lee Gyu-bong還指出,北韓有可能使用deepfakes 在網上製作和傳播虛假視頻,就像烏克蘭總統澤倫斯基向俄羅斯投降的虛假視頻中的那樣,北韓駭客將以deepfakes視頻作為反對的南韓宣傳,副院長認為總統和部長的智慧手機、電腦和其他個人設備也是這些駭客攻擊的主要目標。Lee Gyu-bong說,北韓駭客受過訓練,擁有世界一流的能力來滲透數位貨幣等虛擬資產。他稱北韓自 2017 年以來在全球竊取了約 1.5兆韓元(約360億台幣)的加密貨幣,其中有1,000多億韓元(約25億台幣)來自南韓。

Kimsuky(也稱為Black Banshee、Thallium 和Velvet Chollima)為北韓政府資助進階持續威脅(Advanced Persistent Threat, APT)組織,自2012年活躍至今,擅長採用社交工程攻擊、魚叉式釣魚郵件攻擊及水坑攻擊(Watering hole attack)。 2020年美國網路安全和基礎設施安全局(CISA)發布針對Kimsuky的警報,稱Kimsuky長期以全球實體為目標,是為北韓政權從事全球情報蒐集任務的組織,側重於與朝鮮半島有關的外交政策和國家安全問題上的情報蒐集活動。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

研究發現PLAY勒索軟體利用新的手法,來繞過Exchange伺服器上ProxyNotShell的緩解措施

根據 CrowdStrike 的最新研究,PLAY勒索軟體正在使用一種新的利用方法來繞過 Microsoft 的 ProxyNotShell 緩解措施並獲得對 Exchange伺服器的初期存取權限。ProxyNotShell 包含兩個 Microsoft Exchange Server 漏洞,這些漏洞在 9 月公開披露之前已被廣泛利用。攻擊者將一個伺服器端請求偽造 (SSRF) 漏洞(編號為 CVE- 2022-41040)和一個來遠端執行任意程式碼(編號為 CVE-2022-41802)連結在一起,以獲取對用戶系統的存取權限。雖然 Microsoft 發布了 Autodiscover 端點的 URL 重寫緩解措施以回應 ProxyNotShell,但PLAY勒索軟體攻擊者找到了解決方法,可使Exchange 伺服器處於另一波潛在重大攻擊浪潮的中。

CrowdStrike 將 ProxyNotShell 漏洞利用鏈與它發現的PLAY駭客團體使用的新漏洞利用方法進行了比較

CrowdStrike在周二的Blog文章中詳細介紹了企業將面臨的新風險,並指出PLAY勒索軟體背後的駭客團體如何利用 CVE-2022-41080 和 ProxyNotShell 漏洞之一CVE-2022-41082,濫用網頁版郵件管理介面(Outlook Web Access -OWA) 實現遠端執行任意程式碼,CrowdStrike 將此漏洞利用方法稱為“OWASSRF”,根據 CrowdStrike 最近對數個 PLAY勒索軟體入侵的調查,其中共同的入口向量被確認為 Microsoft Exchange伺服器上。駭客通過這種新的手法OWASSRF進行初期存取後,駭客便利用合法的遠端存取工具Plink 和 AnyDesk 可執行檔案來維持存取,並在Exchange伺服器上執行反取證技術以試圖隱藏他們的擊行動。

Microsoft 的漏洞指南將 CVE-2022-41080 歸類為Exchange伺服器特權提升漏洞,屬於攻擊複雜性低且無需與用戶互動。由於 CVE-2022-41080 與 CVE-2022-41040 具有相同的CVSS評級,並且被 Microsoft 標記為有可能被利用,因此 CrowdStrike 評估該新技術很可能與該漏洞有關。

隨後,CrowdStrike 確認 CVE-2022-41080 並未被利用來獲得初期存取權限,而是與 ProxyNotShell 漏洞結合以繞過 Microsoft 的緩解措施。新的利用方法繞過了微軟為回應ProxyNotShell 而提供的自動發現端點的URL 重寫緩解措施,這是一種新穎的、以前未記錄的方式,可以通過OWA 前端端點存取PowerShell 遠端服務,而不是利用自動發現端點。

另一家資安公司Rapid 7,在周三發布的一篇博客文章中表示,已經觀察到通過上述OWASSRF漏洞利用鏈獲得遠端執行Exchange伺服器的入侵數量有所增加, Rapid7 敦促用戶立即安裝最新的 Exchange 更新,並警告他們不要依賴 Microsoft 重寫緩解措施,僅使用 Microsoft 緩解措施的伺服器確實容易受到攻擊,並指出已修補的伺服器不容易受到攻擊。此外,在測試已修補和未修補的系統後,CrowdStrike 敦促組織應為 Exchange 系統安裝名為 KB5019758 的修補程式,以防止被利用。如果組織無法立即修補,建議完全禁用網頁版郵件管理介面(OWA)。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

德國連鎖酒店H-Hotels遭PLAY勒索攻擊,通訊中斷,無法接收訂單及回覆客戶郵件;出現第二家遭PLAY攻擊的上市企業,新竹無晶圓廠IC供應商疑中招

德國連鎖酒店 H-Hotels披露了在12月11日發生的網路攻擊,導致其通訊中斷的事件;值得一提,PLAY勒索軟體集團已聲稱這次攻擊出自其手,並在其Tor揭秘網站PLAY NEWS上聲稱竊取了H-Hotels的數據,包括個人數據、客戶文件、護照、身份證等,然而PLAY尚未發布任何樣本來支持這說法,H-Hotels稱無法驗證PLAY勒索軟體集團聲稱擁有這些資料的準確性。H-Hotels 是一家知名酒店集團,在德國、奧地利和瑞士的 50 個地點經營著 60 家酒店,共有 9,600 間客房。這家連鎖酒店擁有 2,500 名員工,是德奧瑞三個國家最大的連鎖酒店之一,營運著以H-Hotels的名義以及子品牌 Hyperion、H4 Hotels、H2 Hotels、H + Hotels、H.ostels和H.omes的酒店。

根據H-Hotels內部和外部 IT 專家的初步調查結果,駭客在其專業攻擊的下設法繞過了酒店的多層的技術防護和IT保護系統,為應對此次攻擊,酒店立即關閉IT系統並與互聯網斷開連接,以防止進一步擴散,確保集團旗下個別酒店的持續運營,並照常接受酒店預訂, 但目前無法或不能及時回答通過電郵進行的查詢,建議客戶通過電話聯繫所需或已經預訂的酒店。H-Hotels 已將此攻擊事件通報德國調查機構,並正在與一家 IT 取證公司合作,以盡快恢復其係統。該公司還表示,它正在採取措施確保在未來能夠充分保護自己免受類似的網絡攻擊。

繼11月底,台灣上市顯卡大廠遭PLAY入侵後,上禮拜五(12/16)也傳出興櫃半導體,遭PLAY列為受害者的消息。同樣地,PLAY聲稱已盜取該IC設計大廠的數據但未提供任何的資料樣本。

PLAY是一支新型的勒索軟體,在6月份浮出水面,以簡潔的勒索信引人關注,勒索信不含任何說明,只留下:

  1. PLAY的字眼
  2. 電郵地址

提供極少的資訊給與受害組織,並且不會公開勒索的贖金,使其添加了神秘的色彩,然而資安研究員Dominic Alvieri 證實PLAY使用與伊朗APT駭客活動的相同IP (104.21.43(.)80) ,PLAY是否真的源於伊朗國家駭客仍有待進一步的觀察。

有關PLAY勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Billows UCM攜手Panorays,打造資安合規環境,共同守護資訊安全

自工業3.0以來,製造業就迎來了一股數位化、自動化、以及智慧化的風潮。網路技術的蓬勃發展以及資訊的快速流通,結合網路與機械,快速生產、客製多樣化,這些舉措讓企業整體的生產成本大幅降低,為企業提升競爭力,滿足多變的市場需求。然而這也引發了一個問題,傳統OT實體隔離的作法,在如今需要更多的與虛擬世界結合,如何靈活地應對來自網路的攻擊將會比以往更加的重要。

此外,在強調專業分工的現代社會,緊密且穩定的供應鏈生態已然在各個產業成形,廠商之間透過各種電子資訊交換,令整個產業供應鏈能夠高效且穩定的運作,但這也讓網路攻擊者從中找到了攻破有堅實防禦的對象的方法。透過滲透資安防護不足的供應鏈廠商,以暗渡陳倉之方式侵擾,這也使得耗費重資建設資安防護的公司不禁問道,究竟我還該做些甚麼?

供應鏈資安的議題搖身一變成為熱門話題,產業龍頭們紛紛推出屬於自己或是產業的資安標準,要求所有相關的供應廠商必須遵守,但供應鏈廠商何其繁多,以人力方式一一檢驗其資安能耐難免產生疏漏。那麼,是否有能夠統一管理供應商安全指數的資安風險管理方式呢?Panorays網路資安風險管理平台即是以此為目標的新興解決方案。它能夠以駭客的角度來檢視公司以及所有供應廠商對外的網路邊界安全狀況,透過自動化檢驗以及一系列的問卷方式,協助偵測資安風險,同時也提供補強之方法,能夠讓客戶有效地了解供應商的資安指數與可能的威脅所在,確保整體供應鏈系統能夠有效控管資安風險。

Panorays總部位於紐約和以色列,在全世界都有設立辦公室或是合作夥伴,提供第三方安全風險管控的解決方案。其主要客戶來自北美、英國、以及歐盟,涉及的領域包含製造業、金融業、以及醫療保健組織。竣盟科技自2022年第四季起引入Panorays網路資安風險管理平台,將其作為資安防護框架Billows UCM的風險評估工具,能夠讓客戶在前期的資安健檢階段獲得公正且透明的資訊,並透過該評估報告,正確且有效地規劃資安防護策略。

Billows 資通安全威脅偵測管理平台(Billows UCM),是以協助企業符合資安法規為出發點,進而開發的整合式資安合規監控服務。這項服務繼承竣盟科技過往產品特色,能快速搜集設備所有日誌,並符合各種軌跡資料長期保存的要求,提供相關稽核報表以符合法規稽核之需求。由於在符合法規規範時,企業也必須擁有一定的監控能力,所以該平台核心監控機制是以威脅情資作為動力,搜集全球不同來源的資安情資,並進行匯聚與過濾,從而萃取出高價值的可用情資。透過與Panorays的合作,將能為客戶提供更加高效且安全的資安防護解決方案。

欲了解更多關於 Billows UCM 及 Panorays 的資訊,請聯繫竣盟科技 desiree@billows.com.tw 電話: 02-25623952 ext. 16

LockBit 3.0 勒索軟體集團在雙12公布了十家受害組織,驚見兩家台灣企業榜上有名

台灣汽機車機電系統整合大廠及觸控面板大廠疑遭駭

12月12日LockBit勒索軟體集團一口氣列出十家遭其入侵的企業,以國家來劃分,當中台灣、日本、墨西哥及越南各佔了兩家,委內瑞拉及美國各佔一家,可見LockBit已有鎖定亞洲的趨勢。

據LockBit的聲稱,台灣某汽機車機電系統整合大廠為其12/12公布的受害企業之,該整合大廠為國內外提供排放控制解決方案、機電一體化(OEM)代工服務等服務,工廠遍布福建、上海、印度、越南及桃園等地。LockBit給與13天的談判時間,如雙方沒達到合作成共識,受害企業的數據將在聖誕節當天被公開。另外,另一受害企業為觸控面板大廠,生產電容式觸控面板、薄膜按鍵觸控面板,電阻式觸控面板等, LockBit聲稱將在12月22日公布觸控面板大廠的相關資料,目前尚未不清楚這兩家公司有多少數據被盜。

某汽機車機電系統整合大廠
某觸控面板大廠

根據竣盟科技的統計,從2022年6月LockBit的版本升級至3.0以來,我國出現超過十家遭LockBit.30攻擊的受害公司,製造業為最常被攻擊的目標。

LockBit 3.0的版本的顯著功能,包括:

*逃避 Anti-virus 和 EDR 系統的反檢測機制

*啟動時都需要一個獨有的 32 個字符的密碼,這可產生反分析功能

*LockBit 3.0 要求在執行時提供參數作為存取權杖

*新版本比舊版本更具規避性,速度更快

*增加了新的anti-debug功能

*還存在用於禁用 Windows Defender 和調試 Windows 事件日誌的機制。

執行後,LockBit 3.0 會嘗試禁用 Windows Defender 以防止其檢測,如上所述。

竣盟科技建議您:

*使用多因素身份驗證來保護員工的帳戶

*執行每日備份並保持離線狀態以避免丟失數據

*通過建立獨立的網段、清晰的訪問層次結構以及活動目錄、網域管理員和本地域的額外安全性來破壞網路移動/調查——從而使 LockBit 3.0 的操作複雜化。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

LockBit 3.0 的”部分”入侵指標(Indicator of compromise -IOCs):

Hashes~

cf1f380d736c035793581d87868952efe789520a

1d8596310e2ea54b1bf5df1f82573c0a8af68ed4da1baf305bcfdeaf7cbf0061

77c5fb080bf77f099c5b5f268dcf4435

f019495a1d4feecc07769dc1fbecccb871634cc707c43befe1ea7aa2c629e337

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

傳出清冠一號某製藥廠遭LockBit3.0勒索軟體加密

被設置需支付3佰萬台幣方可將數據銷毀或獨家下載

12月10日竣盟科技觀察到,LockBit 勒索軟體集團在其揭秘網站上張貼了位於桃園的某家製藥大廠成為其受害者的頁面,該製藥大廠在衛服部授權生產我國運用於治療新冠肺炎病毒的清冠一號及二號名單中,目前尚不清楚否是影響清冠配方及其他藥品的生產。LockBit稱在此次攻擊中取得大量數據包括藥物測試及分析資料、銷售數據合作顆伴協議及財務資訊等,LockBit稱為免受害藥廠不向其聯絡協商,將在12/20公佈盜來的數據。根據流出的樣本,LockBit在該藥廠頁面提供了三個方案: 

1. 支付5千美金,計時器將再延長 24 小時

2. 支付 99999美金(約台幣三佰萬元),有關藥廠的所有數據將被銷毀,並且從揭秘網站LockBit Leaked Data中刪除

3. 支付99999美金,獲得獨家下載藥廠數據的權限

LockBit自2022年6月份由LockBit2.0升級至現今的LockBit3.0(又稱LockBit Black) 以來,台灣也出現不少上市企業遭到入侵,當中也包括生技集團軟體系統整合商半導體IT代理商和某日本上市集團在台子公司等。根據以往的攻擊活動,LockBit 集團主要採用了三種策略以獲取初始存取權限:

  1. 透過暴力破解手法攻擊遠端桌面協定(RDP)或在黑市購買外洩RDP憑證,遠端存取目標用戶系統
  2. 通過網路釣魚活動,向目標用戶發送帶有惡意附件的電郵,冒充受信任的個人或機構請求存取憑證或間接誘導受害者下載可安裝其它惡意軟體的有效負載
  3. 通過利用流行的漏洞如Fortinet SSL VPN漏洞(漏洞編號:CVE-2018-13379)進行攻擊

以下提供LockBit三個版本的對比:

LockBit 3.0 的”部分”入侵指標(Indicator of compromise -IOCs):

bf331800dbb46bb32a8ac89e4543cafa

bf4d4f36c34461c6605b42c456fa4492

1690f558aa93267b8bcd14c1d5b9ce34

12eb4ca3ec5b7c650123c9053ea513260d802aa52486b7512b53fb7e86ec876b

URL:

hxxp://ppaauuaa11232[.]cc/aaa[.]exe

hxxp://ppaauuaa11232[.]cc/dlx5rc[.]dotm

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

CMMC第三方評鑑機關Booz Allen Hamilton 與 Acalvio Technologies建立戰略合作夥伴關係,推動零信任環境採用欺敵策略

2022年7月22日,IT諮詢公司Booz Allen Hamilton( NYSE: BAH)獲得網路安全成熟度模型認證 (CMMC) 認證管理機關 (The Cyber AB) 的授權,成為 CMMC 第三方評鑑機關 (Third-Party Assessor Organization -C3PAO),加強了公司的能力提供全面的 CMMC 服務,使客戶能夠準備和獲得認證,Booz Allen 是首批成為 CMMC 生態系統中授權 C3PAO 的公司之一。為了協助國防部 (Department of Defense -DOD) 的主承包商和分包商準備和獲得認證,CMMC 認證管理機關建立了兩個非政府角色:註冊提供商組織 (RPO) 和第三方評鑑機關 (C3PAO),Booz Allen 自 2021 年 2 月起成為授權 RPO,為客戶準備獲得 CMMC 提供諮詢服務,現在是授權 C3PAO,評估客戶並授予他們證書。

除了提供CMMC諮詢服務,Booz Allen更於今年宣布與Acalvio Technologies合作,成為戰略合作夥伴關係,提供先進的網路欺敵技術,這將幫助政府和商業組織在面對日益動態的威脅形勢時建立更大的彈性,以應對及遏制高級網路安全挑戰,包括進階持續性威脅(APT)、勒索軟體和內部威脅的能力,通過主動性防禦改善國家的網路安全運營。這種合作夥伴關係為 Booz Allen 的網路支援平台增加了網路誘捕,並補充了現有的運營能力,例如威脅搜尋、檢測工程和零信任。Acalvio ShadowPlex是唯一經 FedRAMP 認證可用於美國政府環境的專利自主欺敵產品,使組織能夠檢測、調查和回應資訊科技 (IT) 和操作科技 (OT) 環境中惡意活動,支援落地和遠端部署。

“隨著網路威脅變得越來越先進,Booz Allen致力於開發安全、可信和有彈性的戰略,以增強國家的網路安全態勢。”Booz Allen國家網路解決方案總監 Garrettson Blight 說。為了超越攻擊者,政府和商業組織必須更好地整合和同步他們進行網路攻防的方式。Booz Allen 與 Acalvio 的合作實現了這一目標,利用進攻性洞察力為網路防禦提供資訊並解決當前市場上的差距。”

Acalvio Technologies聯合創辦人兼首席執行長Ram Varadarajan 表示:“我們很自豪能與 Booz Allen 合作,為政府和商業客戶提供創新的、隨時可以部署的網路欺敵技術。ShadowPlex將使政府和商業組織能夠通過在快速變化的環境中快速而大規模部署的解決方案來應對高級網路安全挑戰,通過對不懈創新的共同關注,這種合作將使客戶能夠在競爭中保持領先地位並保護他們最關鍵的資產。”

Booz Allen採用行業領先的零信任架構評估、戰略和工程支援,高級威脅搜尋技術和運營監控服務,以保護聯邦政府和商業企業。Acalvio的ShadowPlex產品提供了一組強大的欺敵技術,包括代表主機、應用程式和帳號的誘餌,旨在發現隱蔽的網路威脅。Acalvio 的標誌性 Deception Farm 工具利用假主機或蜜罐等誘餌來引誘和欺騙駭客以獲得更多洞察力,該工具將通過新的合作夥伴關係增加到 Booz Allen 強大的功能組合中。Booz Allen現有服務的包括逆向工程、防禦技術、預測分析、漏洞評估、主動威脅搜尋以及人工智能和機器學習以應對攻擊者。

關於 Booz Allen Hamilton

Booz Allen是美國的IT諮詢公司,提供跨管理諮詢、數位解決方案和工程以及數據分析的服務,擁有超過 5,000 名擁有成熟技能的網路專業人員來支援客戶,在全球擁有近 29,500 名員工,截至 2022 年 3 月 31 日的 12 個月收入為 84 億美元。

關於 Acalvio Technologies

Acalvio是應對網路欺敵攻擊的主動防禦解決方案的全球領導者,其突破性的自主欺敵技術基於分散式欺敵和進階人工智慧領域,並獲得超過 25個註冊專利,以實現有效、易於使用和企業規模的主動式防禦部署。Acalvio 的自主欺敵通過早期檢測進階威脅來減少攻擊者的停留時間,並通過利用複雜的調查和主動威脅搜尋功能提高SOC的效率。Acalvio 已被美國授予聯邦政府風險與授權管理計劃FedRAMP Ready的資格,是目前市場上唯一FedRAMP Ready的欺敵技術的解決方案,這家位於矽谷的公司的解決方案服務於財富500強企業、美國政府機構和大型 MSSP。

竣盟科技是Acalvio的台灣唯一代理商以及指定技術合作夥伴,目前已將Acalvio ShadowPlex持續導入到國內企業與機構中,協助建構高擬真的欺敵平台,並完美地融入現有的監控模式,更加提升網路安全防護等級。

欲了解更多關於 Acalvio ShadowPlex的資訊,請聯繫竣盟科技 desiree@billows.com.tw 電話: 02-25623952 ext. 16

FBI 及CISA: 古巴勒索軟體集團入侵了全球至少100個組織,贖金獲利超過6千萬美元

根據美國FBI及CISA的最新聯合警報(Alert AA 22-335A),截至2022年8月,古巴勒索軟體(Cuba Ransomware)在全球入侵了100多個組織(當中美國佔至少65個實體,其餘36個為其他國家,包含台灣一家受害上市半導體)後,索要超過1.45億美元的贖金,成功取得至少6千萬美元的贖金。報告指出,受古巴攻擊的美國實體的數量成長接近一倍,持續針對五個關鍵性基礎設施進行攻擊,當中包括金融業、政府部門、醫療保健產業、關鍵性製造業及IT產業。

在此次警報中,CISA 及FBI透露Cuba勒索軟體攻擊者與 RomCom Remote Access Trojan 和 Industrial Spy 勒索軟體等其他惡意工具的幕後黑手有關聯,並進一步指出自今年年初以擴充其新的戰術、技術與流程(TTPs) 來部署惡意軟體,據悉Cuba多數以寄生攻擊(Living Off-The-Land) 手法進行攻擊,依靠已知漏洞、網路釣魚活動、遠端桌面連線軟體和被盜憑證的組合來存取受害系統並部署惡意軟體。然而,這兩個機構引用 Palo Alto Networks 的研究稱,自 2022 年 5 月以來,觀察到攻擊手法起了些變化,包括使用 ROMCOM RAT 惡意軟體、ZeroLogon 漏洞、本地權限提升漏洞利用和專門針對安全產品kernel driver的工具。

發現 Cuba 勒索軟體攻擊者擅長利用的漏洞,包括CVE-2022-24521一個影響 Windows 通用日誌檔案系統驅動程式的漏洞 – 以及CVE-2020-1472,是2020 年最常被利用的漏洞之一。

另外,此次警報大部分包括 FBI 在 2021 年 12 月發布Flash Alert CU-000156-MW的資訊,包括Cuba通過 Hancitor分發勒索軟體的事實——Hancitor 是一種以向受害者網路投放或執行竊取程式而聞名的載入程式,如遠端訪問木馬 (RAT) 和其他類型的勒索軟體。在目標網內的受感染設備上站穩腳跟後,Cuba 勒索軟體威脅行為者使用合法的 Windows 服務(例如,PowerShell、PsExec 和各種其他未指定的服務)遠端部署有效負載並使用包含“.cuba” 副檔名的加密檔案。

在今天的聯合警報中,FBI 敦促曾在其企業或組織網路中檢測到Cuba 勒索軟體活動的人士,向其提供相關資料。

有助於識別勒索軟體組織成員和與他們合作的網路犯罪分子的有用資料包括:

*顯示與外國 IP address之間的通訊的boundary logs

*勒索信樣本

*與勒索軟體參與者的通訊

*比特幣錢包資料

*解密檔案和或加密檔案的良性樣本

警報中提供有關古巴勒索軟體的入侵指標(Indicator of compromise -IOCs):

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

新型勒索軟體PLAY來襲,揭秘網站首公開,18家受害公司名單中,驚見某台灣上市顯示卡公司疑遭鎖定

PLAY揭秘網站上的受害公司(頁面1)

竣盟科技於11月27日發現PLAY勒索軟體首度公開其揭秘網站PLAY NEWS,PLAY NEWS上已出現18家受害公司,目前只有八家公司名稱和資訊被披露,其餘10家公司名稱尚未公開,然而,受害名單中出現了台灣顯卡大廠的頁面,該大廠近幾來年積極布局智慧醫療領域,提供多元性的醫療解決方案。據觀察,目前該企業的網站運作正常,在公開資訊觀測站上沒有有關資安事件的重訊。但PLAY聲稱已盜取約355GB的數據,並已先公開外洩10GB數據作為入侵的證據,據PLAY稱,如該企業未在14天內付贖金,將發布所有盜來的數據。在外洩的數據中包含了合約,協議,研究數據及敏感資料的檔案,PLAY也在該顯卡大廠頁面中提供download link及密碼供任何人下載使用。

認識PLAY勒索軟體

PLAY勒索軟體於2022年 6 月首次出現,並因加密檔案後的.play副檔名而得名。有趣的是,操作PLAY勒索軟體的背後駭客並沒有像其他典型的勒索軟體一樣提供詳細的勒索信或說明,Play的勒索信異常的短且簡單。PLAY 的ReadMe.txt勒索信不會在每個檔案夾中建立,僅建立在硬碟的根目錄 (C:\) 中,並且只包含“PLAY”一詞和聯繫的Email地址,如下圖顯示:

2022 年 8 月中旬,當一名叫Luis Ernesto Zegarra的記者發現阿根廷科爾多瓦司法機構(Argentina’s Judiciary of Córdoba)受害時,宣布了第一起PLAY勒索軟體公開入侵事件,阿根廷司法部證實了這次

攻擊,並將其描述為有史以來對公共機構最嚴重的攻擊,司法部IT系統斷網及其數據庫被破壞,導致職員們被迫使用筆和紙來建立和處理法院的文件。據悉,PLAY使用常見的Big Game Hunting策略,例如利用保持連線的 SystemBC RAT 和Cobalt Strike的滲透工具,並使用自訂義 PowerShell 腳本和 AdFind 進行枚舉,使用 WinPEAS 進行權限升級,並使用 RDP或SMB 在目標網路內進行橫向移動。

PLAY是如何攻擊?

Play使用被入侵的有效帳戶、暴露的RDP 伺服器和 FortiOS 漏洞 CVE-2018-13379 和 CVE-2020-12812 來獲得對組織網路的初期存取。在獲得存取權限後,開始使用“ lolbins ”二進製檔案,將其用作攻擊的一部分,之後通過群組原則(GPO)在內部網路中分發可執行檔,然後運行任務排程的PsExec 或 wmic,在獲得對內部網路的完全存取權後,他們會使用“.play” 副檔名的加密檔。

值得指出的是,根據研究PLAY是擅長一個採取間歇性加密(Intermittent Encryption)的勒索軟體組織,間歇性加密是通過只加密部分檔案而非所有內容,可加速加密或是毀損資料的程序,也可躲避以統計分析為檢測方式的安全系統。另外, PLAY在常見問題中表示,會在收到贖金的一個小時內刪除盜來的數據及提供解密工具給受害者,然而根據PCrisk 的統計及評估,儘管受害者滿足贖金的要求,但通常不會收到解密數據的必要工具。

PLAY揭秘網站上的FAQ頁面

有關PLAY勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

006ae41910887f0811a3ba2868ef9576bbd265216554850112319af878f06e55

fc2b98c4f03a246f6564cc778c03f1f9057510efb578ed3e9d8e8b0e5516bd49

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”