標籤: News

約80家門市週日(4/28)突然關閉，至今已停業三日，目前沒有重新開業的時間

上週日(4月28日)，據CityNews和CTV報道，加拿大連鎖藥局 London Drugs在檢測到網路攻擊後，關閉所有門市，直到另行通知。根據媒體報道London Drugs拒絕回答有關入侵的具體問題，包括是否部署了勒索軟體 ，但發表聲明表示，出於高度謹慎的考慮，在2024 年 4 月 28 日發現自己成為網路安全事件的受害者後，加拿大西部各地的 London Drugs 商店暫時關閉，直至另行通知。在發現這起事件後，London Drugs公司立即採取對策保護其網路和數據，包括聘請領先的第三方網路安全專家協助遏制、補救和進行取證調查， London Drugs建議顧客如果有“緊急藥房需求”，請致電當地藥房進行安排。據CTV報道，有London Drugs的客戶服務代表表示，「我們所有的系統都癱瘓了」，門市暫時無法處理任何交易。

London Drugs在太平洋時間4月28日下午5:30左右通過電子郵件發送給加拿大CBC News的聲明中表示，目前我們沒有理由相信客戶或員工數據受到影響。此外該公司表示，藥劑師隨時待命以應對緊急需求。然而該公司的電話線路也仍然處於停機狀態，但表示顧客可以親自前往當地商店，那裡的工作人員將為他們提供協助。

由於London Drugs已停業三日，有專家指出今次網路攻擊情況嚴重，建議公眾考慮更改信用卡密碼，保障帳戶安全。加拿大互聯網註冊局網路安全和域名系統副總裁Jon Ferguson表示，即使London Drugs尚未確認事件具體細節，但相信情況相當嚴重，又指事件該提醒公司和市民要保護自己，避免受到網路攻擊。

加拿大網路安全專家Sam Lau指，曾光顧London Drugs的市民，可以考慮更改信用卡密碼，以保障自己的銀行帳戶安全。Sam Lau說：「現時很多大公司，都會把顧客的信用卡資料紀錄在系統中，因此他們的系統需要經常更新，並要有加密措施來保障客戶。」

根據 IBM X-Force 威脅情報指數 2024 的報告，在北美，醫療保健是 2023 年第三大網路攻擊目標產業，佔攻擊的 15%。 2023 年，醫療保健在全球攻擊份額中排名第六，佔目標的 6.3%，高於 2022 年的 5.8%。另外2023 年醫療保健資料外洩的平均成本為1,093 萬美元，比2020 年成長53.3%，與其他產業的資料外洩相比，醫療保健資料外洩的成本最高。

研究人員發現 LockBit 和 DragonForce 勒索軟體之間的關聯

一種名為 DragonForce 的相對較新的勒索軟體在發生一系列備受矚目的攻擊後引起關注，研究員觀察到一種名為 新型勒索軟體DragonForce 使用了臭名昭著的 LockBit勒索軟體的製作工具（Builder）。據信DragonForce 勒索軟體於 2023 年 11 月出現，與許多其他勒索軟體組織一樣，DragonForce透過加密企業組織的電腦和數據，從而從受感染的系統中竊取數據向受害者勒索金錢並威脅透過暗網將數據發布給其他人。

DragonForce 最早已知的勒索軟體攻擊是針對俄亥俄州彩票公司的。在那起事件中，DragonForce 宣稱它竊取了超過 600 GB 的數據，其中包括 300 萬筆記錄，其中包含姓名、電子郵件地址、社會安全號碼和其他敏感資訊。其他聲稱的受害者包括澳洲養樂多公司（95.19 GB 的公司資料外洩）和新加坡的可口可樂（413.92 GB）。最近，2024 年 3 月中旬，帛琉政府遭受勒索軟體攻擊，導致電腦被鎖定。奇怪的是，勒索信是來自兩個勒索軟體組織，一份來自LockBit，一份來自 DragonForce。

根據資安公司Cyble的研究人員最近的分析顯示，DragonForce 的二進位檔案基於外洩的LOCKBIT Black的製作工具，該製作工具允許加密模式、檔案名稱混淆、進程模擬、檔案和資料夾排除以及勒索信範本等自訂。Cyble 透露，迄今為止，全球已有超過 25 名受害者被揭露，DragonForce利用洩漏的 LOCKBIT 基礎設施來提高營運效率，同時透過重新命名的「DragonForce」身分保持低調。分析程式碼後發現，DragonForce勒索軟體使用了洩漏的LOCKBIT產生器，該產生器在設計和功能方面具有許多共同特徵。

執行後，病毒會停止許多進程和服務，例如Oracle、Microsoft Office 應用程式、防毒軟體，甚至備份解決方案以加速加密。 加密的檔案被賦予一個隨機名稱，後面跟著「.AoVOpni2N」副檔名。

犯罪者還在每個加密資料夾中放​​入了名為「AoVOpni2N.README.txt」的勒索字條。它包含有關如何支付解密費用的說明。

DragonForce 勒索軟體顯示了 LOCKBIT Black 等惡意軟體建構者的製作工具洩露的情況是多麼危險。 這些類型的程式允許威脅行為者無需太多努力即可快速創建個人化勒索軟體，使國際公司更難保護自己免受這些勒索軟體的侵害。 報告稱，這種資料竊取和加密方法表明，網路攻擊者不斷發展其策略，透過勒索軟體攻擊造成最大的金錢損失，例如 DragonForce 等組織利用「雙重勒索」方法進行的勒索軟體攻擊。

Dragon Force的案例再次提醒我們，為什麼需要存在強有力的保護措施，以應對勒索軟體團體所構成的不斷變化的威脅，儘管尚不清楚誰是負責操作Dr​​agonForce 勒索軟體，但網路安全社群中的一些人已將勒索軟體與名為DragonForce Malaysia的馬來西亞駭客組織和論壇聯繫起來。

有關DragonForce的部分入侵指標(Indicator of compromise -IOCs):

FileHash-MD5  2915b3f8b703eb744fc54c81f4a9c67f                   

FileHash-MD5       7bdbd180c081fa63ca94f9c22c457376         

FileHash-MD5       d54bae930b038950c2947f5397c13f84                

FileHash-SHA1       bcfac98117d9a52a3196a7bd041b49d5ff0cfb8c          

FileHash-SHA1       e10361a11f8a7f232ac3cb2125c1875a0a69a3e4

美國政府表示，午夜暴雪 (Midnight Blizzard)對微軟公司電子郵件帳戶的入侵「給聯邦機構帶來了嚴重且不可接受的風險」

美國網路安全與基礎設施安全局(CISA) 週四(4/2)發布了一項緊急指令(ED 24-02)，敦促聯邦機構在最近微軟系統遭到入侵並導致​​電子郵件通訊被盜後，尋找入侵跡象並制定預防措施。

今年稍早曝光的攻擊被認為是俄羅斯APT駭客組織 Midnight Blizzard（又名 APT29 或 Cozy Bear）所為。上個月，微軟透露攻擊者成功存取了部分原始碼儲存庫，但指出沒有證據表明面向客戶的系統遭到破壞。

CISA表示：“駭客正在利用最初從企業電子郵件系統洩露的資訊，包括微軟客戶和微軟通過電子郵件共享的身份驗證詳細資訊，來獲得或試圖獲得對微軟客戶系統的額外訪問權限。”

該機構表示，政府實體和微軟之間的電子郵件通訊被盜帶來了嚴重的風險，敦促有關各方分析洩露的電子郵件內容，重置受損的憑證，並採取額外措施確保特權Microsoft Azure 帳戶的身份驗證工具的安全性。

目前尚不清楚有多少聯邦機構的電子郵件交換在事件發生後被洩露，但 CISA 表示所有機構都已收到通知。

該機構還敦促受影響的實體在2024 年4 月30 日之前執行網路安全影響分析，並在2024 年5 月1 日晚上11:59 之前提供狀態更新。建議受該入侵影響的其他組織聯繫各自的Microsoft 帳戶團隊，並跟進任何問題。

CISA 表示：“無論直接影響如何，強烈鼓勵所有組織採用嚴格的安全措施，包括強密碼、多重身份驗證 (MFA) 以及禁止通過不安全的渠道共享未受保護的敏感資訊。”

這項進展正值 CISA發布了名為Malware Next-Gen的新版本惡意軟體分析系統之際，該系統允許組織提交惡意軟體樣本（匿名或以其他方式）和其他可疑工件進行分析。

根據 Flashpoint 的2024 年全球威脅情報報告( Global Threat Intelligence Report)， 2023 年報告的資料外洩事件增加了 34.5%，全年超過 170 億筆個資記錄遭到洩露。

該公司去年記錄了 6077 起公開報告的資料外洩事件，其中包括姓名、社會安全號碼和財務資料等敏感資訊。

其中超過 70% 的事件是由來自受影響組織外部的未經授權的存取造成的。

研究人員還觀察到，與去年同期相比，2024 年前兩個月被盜或洩露的個人資料激增 429%，有 18,970 億筆個人記錄和憑證遭到洩露。

2023 年，美國佔全球資料外洩事件的大部分（60%），通報事件為 3804 起。與 2022 年相比，成長了 19.8%。

勒索軟體是資料外洩激增的主要驅動因素

資料外洩激增的罪魁禍首是勒索軟體攻擊，Flashpoint 強調，2023 年記錄的事件增加了 84%。

此外，與 2023 年同期相比，2024 年頭兩個月公開勒索軟體攻擊數量增加了約 23%，達到 637 起。

報導稱，LockBit 勒索軟體集團去年共造成 1,049 名受害者，佔 2023 年所有已知勒索軟體攻擊的五分之一以上。

2024 年 2 月，在克諾司行動 (Cronos Operation)期間，全球執法部門破壞了這個多產勒索軟體攻擊者的基礎設施。

研究人員還指出，Clop 勒索軟體組織利用 2023 年 5 月出現的 MOVEit Transfer 檔案應用程式漏洞對資料外洩格局產生了「深遠」影響。

他們確定，MOVEit 攻擊總共造成了 2023 年報告的所有資料外洩事件的 19.3%。這個數字包括那些在其供應鏈上透過第三方竊取資料的組織。

去年最受勒索軟體攻擊的產業是建築和工程（18.7%），共發生 416 起公共事件。其次是專業服務（13.7%）、網路軟體和服務（13.2%）以及醫療保健提供者和服務（12.29%）。

總體而言，勒索軟體和未經授權的存取佔所有公開披露的資料外洩事件的 85%。

記錄漏洞揭露和利用情況

報告發現，2023年是漏洞揭露的高峰期，總數達到 33,137 個。

其中，超過一半 (52%) 在通用漏洞評分系統 (CVSS) 下的嚴重程度得分為高至嚴重 (7.0-10.0)，為勒索軟體等攻擊的發生提供了關鍵途徑。

Flashpoint 研究人員表示，他們記錄了超過 10 萬個常見漏洞和暴露 (CVE) 未被報告的漏洞，其中許多影響了谷歌和微軟等大公司。

因此，他們估計嚴格依賴 CVE 的組織可能不知道近三分之一的已知漏洞風險。

#帳號填充攻擊

深受喜愛的遊戲公司寶可夢在檢測到駭客企圖後要求玩家重設密碼

《寶可夢》是一款廣受歡迎的遊戲系列，在全球擁有數億玩家。3月20日，根據Tech Crunch的報道，寶可夢公司(The Pokémon Company)偵測到針對部分使用者的駭客攻擊後，重設了這些使用者帳號密碼。上週，神奇寶貝官方支援網站上出現了一條警報，稱在試圖破壞我們的帳號系統後，寶可夢主動鎖定了可能受到影響的粉絲的帳號。如果您無法登入您的寶可夢訓練傢俱樂部帳號，請按照此處的說明重設您的密碼。”然而該警報現已被刪除。

在警報刪除後，該公司發言人Daniel Benkwitt解釋說，駭客沒有嘗試存取寶可夢本身，只是針對一些用戶的一系列駭客攻擊嘗試。「帳號系統沒有受到破壞。我們所經歷和發現的是駭客登入某些帳號。為了保護我們的客戶，我們重置了一些的密碼。」Benkwitt進一步表示，只有 0.1% 的駭客目標帳號實際上受到了威脅，並重申該公司已經強迫受影響的用戶重置密碼，因此對於那些沒有被要求重置密碼的人來說，他們沒有任何的影響。據了解，對寶可夢帳號的攻擊是以帳號填充(Credential stuffing)的攻擊手法，其中惡意駭客使用從某項服務的資料外洩中獲取到的用戶名和密碼，並在其他網站上重複使用它們，這種攻擊能夠在短時間內危及許多帳號。

最近的一個類似事件的例子是去年10月基因檢測公司 23andMe 發生的事情，在那起事件中，駭客利用其他資料外洩事件洩露的密碼入侵了大約 14,000 個帳號(即 0.1%的用戶資料遭到存取)透過入侵這些帳號，駭客存取數百萬 23andMe 帳號持有者的敏感基因資料。這促使該公司推出強制雙重認證，一種防止撞庫攻擊的安全功能。另外根據 TechCrunch，寶可夢公司沒有允許用戶在其帳號上啟用雙因素驗證。