BlackCat勒索軟體入侵了歐洲能源供應商,Encevo Group旗下兩家子公司受影響,數據外洩露,電話線路及客戶管理系統無法使用

根據多家資安外媒報導,總部位於盧森堡的兩家公司正在努力應對上周開始的勒索軟體攻擊,這是涉及歐洲能源公司的一系列事件中的最新一起。在 7 月 25 日Encevo Group 表示,其2間主要子公司Creos(管理電力與燃氣網)和Enovos Luxembourg(負責向盧森堡和德國的多元化投資組合客戶出售能源)是7 月 22 日晚,網路攻擊的受害者。Encevo Group指出此次攻擊中斷了兩家公司的客戶入口網站,但未影響電力和天然氣的供應,Encevo Group是由盧森堡政府和包括中國南方電網國際在內的其他幾家公司所有。Encevo Group在五個歐洲國家(盧森堡、德國、法國、比利時與荷蘭)擁有能源供應業務,是盧森堡最大的能源公司,為超過 285,000 名客戶提供電力,為 47,000 名客戶提供天然氣。

Creos在上週的一份聲明中證實,其電話線路及客戶管理系統無法使用,沒有進一步說明其他細節,然而其母公司Encevo Group在 7 月 28 日的新聞稿中寫道,“一定數量的數據從電腦系統中外洩露或因駭客攻擊無法存取。” 目前 Encevo Group無法估計影響的範圍,懇請客戶耐心等待調查結束,屆時將個別通知客戶,Encevo Group表示建立了一個專門的網頁,用於發佈消息,將隨著Creos 和Enovos發展的情況進行更新。Encevo保證用戶的供應不會因攻擊而中斷,但建議客戶盡快重置他們的登錄詳細資料。

現在,資安公司Emsisoft威脅分析師 Brett Callow 表示,攻擊者是BlackCat勒索軟體組織-也稱為 Alphv,據熟悉,BlackCat竊取了 150 GB 的數據,共18萬個檔案,從截圖顯示這些數據包括合約、護照、賬單和電郵等,BlackCat聲稱在周一(8 月1日) 公開所有數據,但截至目前,尚未公佈任何數據。

BlackCat/Alphv 揭秘網站

歐盟網路安全局在週五(7/29)發布了一份報告,其中分析了 2021 年 5 月至 2022 年 6 月期間在歐盟發生的 623 起資安事件。報告發現,在勒索軟體攻擊期間,每月有 10 TB 的數據被盜和外洩,而超過 60 % 的組織可能已經支付了贖金。

針對 Encevo Group 旗下實體的攻擊是最近針對歐洲能源公司的眾多攻擊之一,這些攻擊在去年顯著增加。德國風電場運營商 Deutsche Windtechnik於 4 月因網路攻擊而癱瘓,而德國風力渦輪機製造商 Nordex在 3 月 31 日遭受網路攻擊後被迫關閉其多個地點和業務部門的 IT 系統。Nordex 事件是在對衛星通信公司 Viasat 的網路攻擊之後發生的,該攻擊導致德國 5,800 台 Enercon 風力渦輪機無法使用。

2 月,歐洲檢察官和網路安全官員開始調查影響幾個主要石油港口碼頭的勒索軟體攻擊,目標是比利時、荷蘭和德國的組織,包括該地區一些最大的港口。

德國物流集團 Marquard & Bahls 旗下的石油公司 Oiltanking 和 Mabanaft在 2 月份遭受了網路攻擊,導致其裝卸系統癱瘓。Oiltanking表示,這是不可抗力的攻擊事件,迫使殼牌將石油供應改道至其他油庫。德國報紙 Handelsblatt稱,由於這次襲擊,德國各地的 233 個加油站現在不得不手動運行一些流程。德國聯邦資料安全辦公室的一份內部報告稱,BlackCat 勒索軟體組織是對石油公司的網路攻擊的幕後黑手。

美國FBI 在 4 月發布的警報稱,截至 3 月,執法機構已追踪到 BlackCat 組織發起的至少 60 次勒索軟體攻擊。 根據警報,BlackCat是第一個使用 RUST 成功攻擊這麼多受害者的勒索軟體組織,RUST是一種許多人認為比使用其他編程語言更安全的程式語言。

資安公司Emsisoft 表示,BlackCat 很可能是被稱為 BlackMatter 的勒索軟體組織的改名(Rebrand),而BlackMatter又是 DarkSide 的改名,該組織因去年攻擊美國美運油供應商 Colonial Pipeline而臭名昭著,更導致美國總統拜登宣布全國進入緊急狀態。

有關BlackCat勒索軟體的”部分”入侵指標(Indicator of compromise -IOCs):

Domain:

sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion

id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion

SHA 256:

f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6

f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89

f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

注意了! LockBit3.0濫用微軟Defender 載入 Cobalt Strike 的Beacon來感染設備

研究指出微軟Defender 成為 LockBit 3.0 勒索軟體的目標,該勒索軟體通過部署 Cobalt Strike 的Beacon來利用系統並成功避免檢測。根據Sentinel Labs的研究人員表示, LockBit 3.0 勒索軟體濫用 Defender中特殊的 Command Line工具 MpCmdRun.exe 來側載惡意程DLL (DLL Sideloading)。MpCmdRun 負責保護 Windows 免受線上威脅和惡意軟體的入侵,一旦運行惡意 DLL 以解密系統,就會將 Cobalt Strike 信標安裝到設備中。

在這種情況下,最初的網路入侵是通過未修補的 VMWare Horizo​​n 伺服器上的 Log4j 漏洞執行 PowerShell 指令碼來進行的。攻擊過程的方式與和此前曝光的 VMWare CLI 案例幾乎相同,攻擊者實質上是利用Log4j 漏洞從其命令與控制 (C2) 伺服器下載 MpCmdRun.exe、惡意“mpclient”DLL 和加密的 Cobalt Strike 有效酬載檔案,以感染潛在受害者的系統。

LockBit 3.0 攻擊鏈 Photo Credit: Sentinel Labs

MpCmdRun.exe 是一個用於執行 Microsoft Defender 任務的命令行實用程式,它支持掃描惡意軟體、收集資料、還原項目、執行診斷追踪等命令。執行時,MpCmdRun.exe 將下載一個名為“mpclient.dll”的合法 DLL,該 DLL 對於程序正常運行至關重要。

在 SentinelLabs 分析的案例中,攻擊者建立了自己的mpclient.dll武器化版本,並將其放置在優先載入惡意版本 DLL 檔案的位置,再將從 c0000015.log 檔案(加密的Beacon)載入加密的 Cobalt Strike 有效酬載。

在攻擊中使用的元件與Windows Defender命令行工具的相關:

Photo credit: Sentinel Labs

雖然目前尚不清楚 LockBit 成員如何從 VMware 切換到 Windows Defender 命令行工具以側載 Cobalt Strike 的Beacon,但現今使用就地取材 (Living Off-the-Land-LoL)的工具來逃避 EDR 和 AV 檢測非常普遍;因此,企業需檢查他們的安全控制,並追踪可能被攻擊者使用的合法可執行檔案的使用保持警惕。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1      

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302 

e35a702db47cb11337f523933acd3bce2f60346d 

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

專家在技嘉和華碩主機板UEFI韌體上發現名為「CosmicStrand」的惡意程式

資安公司Kaspersky(卡巴斯基)的安全威脅研究團隊在 UEFI 韌體發現了一個名為“CosmicStrand”的rootkit惡意程式,卡巴斯基將其歸咎於會講中文的駭客。UEFI (Unified Extensible Firmware Interface) 即統一可延伸韌體介面,用來定義作業系統與系統韌體之間的軟體介面,作為BIOS的替代方案,負責啟動裝置,再將控制權交給載入作業系統的軟體,通常存放在主機板的快閃記憶體中。CosmicStrand 是在受感染的華碩(ASUS)和技嘉(Gigabyte)UEFI韌體中發現的 rootkit惡意程式,就算重新安裝Windows或換掉硬碟都無法刪除CosmicStrand,目前尚不清楚攻擊者如何將 rootkit 注入韌體image中。

Kaspersky研究人員在報告中表示,注意到所有這些image都與使用英特爾(Intel)的H81晶片組的設計有關,這表明可能存在一個漏洞,允許攻擊者將他們的 rootkit 注入UEFI韌體的image中。

據稱,確認的受害者是位於中國、越南、伊朗和俄羅斯的個人,與任何重要組織沒有明顯的關聯,Rootkit 是一種能夠將自身嵌入操作系統最深層的惡意軟體植入物,為攻擊者提供了長時間的隱身和持久性。

Photo Credit:卡巴斯基

CosmicStrand 是一個只有 96.84KB 的檔案,儘管感染的初始存取向量有些神秘,但攻擊後的操作涉及對名為 CSMCORE DXE 的驅動程式進行更改,以將程式碼執行重定向到攻擊者控制的網段,該網段旨在系統啟動期間運行,最終導致在 Windows 中部署惡意軟體。攻擊的目標是篡改操作系統載入過程,在每次啟動時將內核級植入程式部署到 Windows 機器中,並使用這種根深蒂固的存取權限來啟動連接到遠程伺服器的 shellcode 以獲取要在系統上執行的實際惡意酬載。

雖然卡巴斯基發現的 CosmicStrand 變種是較新的,但奇虎 360 的研究人員在 2017 年披露了有關該惡意軟體早期版本的細節,認為這種惡意程式是2016-17 年就已經存在的Spy Shadow 特洛伊木馬的變種。根據奇虎 360的報告,受感染的系統運行在所有者從在線上購買的二手華碩主機板上,提出了程式碼修改可能是從二手經銷商處獲得存在後門的主機板的可能性。

另外,卡巴斯基發現CosmicStrand發現與早期的殭屍網路“MyKings” 的程式碼模式存在許多相似之處。My Kings起源於中國,因此卡巴斯基認為新的 CosmicStrand rootkit 也源於中國。

Photo Credit: 卡巴斯基

CosmicStrand惡意程式的部分入侵指標(Indicator of compromise -IOCs):

Hostname:

www.erda158.top

update.bokts.com

SHA 256:

951f74882c1873bfe56e0bff225e3cd5d8964af4f7334182bc1bf0ec9e987a0a

25969ab58383a5fdc53e9861a25c3ed90813e4e5fcc9d8a99df5e9f74b427474

SHA1:

ecbbded5b85f61686377f7592dacb25c264e9908

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit勒索軟體集團聲稱入侵了意大利稅務局,並竊取了100MB數據!

7月 25日,LockBit勒索軟體集團聲稱從意大利稅務局(Agenzia delle Entrate)竊取了 100GB 的​​數據,並威脅說如果在 8 月 1 日之前不支付贖金,就會洩露這些數據。在一份簡短的新聞稿中,意大利稅務局表示,已要求負責管理稅務局IT 基礎設施的國有公司 SOGEI (Società Generale d’Informatica) SPA調查這起宣稱入侵事件並提供反饋和澄清。SOGEI SPA隨後在一份聲明中告訴彭博社,稱從進行的技術調查來看,排除了對稅務局網站的網路攻擊可能性,也沒有發現有數據從金融管理部門的技術平台和基礎設施中的洩露跡象,並補充說正在與意大利國家網路安全局和警方合作,以持繼進行的調查,因此無法提供進一步的細節。

然而,LockBit提供了8張截圖作為攻擊的證明,聲稱從稅務局竊取了包括公司檔案、掃描檔案、財務報告和合約等資料。SOGEI SPA(即意大利通用電腦協會)還負責管理其他意大利機構使用的 IT 基礎設施,包括司法部、內政部和教育部、州檢察長和財政部。

根據資安供應商 Digital Shadows 的數據,LockBit是第二季度最活躍的勒索軟體組織,佔勒索軟體攻擊事件的 32.77%,有 231 名受害者。LockBit 的受害者人數是其他勒索軟體的三倍多,Conti勒索軟體則位居第二。

Photo Credit: Digital Shadows

LockBit勒索軟體自2019 年以來一直活躍,今年 6月底發布了最新版本的LockBit 3.0,一個關鍵的變化是引入了漏洞賞金計劃,LockBit向發現其勒索軟體的漏洞,可以改善其網站或使用工具的建議人士提供 1,000 到 100 萬美元的獎賞。

LockBit 3.0 勒索軟體的部分入侵指標(Indicator of compromise -IOCs)

SHA 256:

506f3b12853375a1fbbf85c82ddf13341cf941c5acd4a39a51d6addf145a7a51

d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee

a56b41a6023f828cccaaef470874571d169fdb8f683a75edd430fbd31a2c3f6e

80e8defa5377018b093b5b90de0f2957f7062144c83a09a56bba1fe4eda932ce

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國網路司令部 (USCYBERCOM) 發布了,最近針對烏克蘭攻擊中發現的惡意軟體相關的入侵指標!

美國網路司令部(USCYBERCOM)周三(7/20)披露了數十種形式的惡意軟體,這些惡意軟體已被用於攻擊烏克蘭的網路,其中包括 20 個前所未見的惡意程式樣本。惡意軟體樣本是由烏克蘭安全局在該國的各種受感染網路上發現的,據信,自 2022 年 2 月俄羅斯入侵開始之前,網路活動就有所增加。

美國網路司令部指出,此次披露的入侵指標(Indicator of compromise -IOCs)是他們和其他美國機構定期努力的一部分,旨在突出俄羅斯、中國、伊朗和北韓等攻擊者用來削弱烏克蘭網路的駭客工具並旨在加強集體的網路安全,繼續在網路安全方面建立強有而力的伙伴關係。

美國網路司令部進一步解釋入侵指標的重要性,由於入侵指標是主機系統或網路被入侵的證據,能充當潛在漏洞的網路防禦者的數位取證,通過IOCs使用戶能夠在該主機系統或網路中搜索和識別惡意軟體。

根據 Mandiant的說法,烏克蘭的公共和私人實體都成為了幾個網路間諜組織的目標,這些組織使用網路釣魚和誘餌,在入侵中使用的惡意軟體支援多種操作,而這些組織此前曾進行過間諜活動、假訊息操作和破壞性攻擊等。

一個針對烏克蘭的駭客組織是 UNC1151,與白俄羅斯情報部門有關連,並為Ghostwriter 的假訊息活動提供技術支援。UNC1151 一直針對烏克蘭、拉脫維亞、立陶宛、德國和波蘭的政府和媒體實體,自 2 月 24 日俄烏戰爭爆發以來,UNC1151 一直積極針對烏克蘭。據觀察,該網路間諜組織使用了 Cobalt Strike Beacon(一個具有檔案傳輸和shell 命令執行功能 )和 Microbackdoor (可以傳輸檔案、執行命令、截圖和自我更新) 的惡意軟體。

另一個活躍在烏克蘭的駭客組織是俄羅斯國家級駭客UNC2589,研究人員認為,該組織是 1 月份部署了WhisperGate 惡意軟體,對烏克蘭實體破壞性攻擊的幕後黑手。WhisperGate 被用於一系列入侵,影響了至少 70 個屬於烏克蘭政府的網站網域。在過去的幾個月中,還觀察到該駭客組織針對北美和歐洲的北約成員國。UNC2589 擅長網路釣魚,利用例如 Covid-19、政府相關誘餌、烏克蘭戰爭等主題來部署惡意軟體–Grimplant(一種基於 Go 的後門,用於執行系統監視和命令執行)和 Graphsteel (一種開源的滲透工具,可以從目標系統中收集各種類型的資料。)

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

泰國民主活動人士被間諜軟體監控,幕後黑手指向以色列Pegasus「飛馬」間諜程式!

加拿大的公民實驗室(Citizen Lab)最新的研究報告披露,泰國民運人士的手機成為備受爭議的以色列間諜軟體飛馬(Pegasus) 的入侵目標。據信,入侵發生在2020年10月至2021年11月在期間,至少有 30 人成為攻擊目標,其中包括活動人士、學者、律師和非政府組織工作人員,其中許多人此前曾因從事政治活動或批評政府而被拘留、逮捕和監禁。

Photo Credit: The Citizen Lab

泰國人權組織 iLaw、東南亞互聯網監管機構 Digital Reach 和位於多倫多的 Citizen Lab 展開調查,這是 Pegasus 間諜軟體首次被用於針對泰國公民,此前蘋果公司 11 月發布了大規模警報,通知包括泰國在內的數千名 iPhone 用戶,他們是國家級駭客攻擊者的目標。這些攻擊需要利用兩個零點擊(zero-click)漏洞攻擊程式——KISMET和FORCEDENTRY——來入侵受害者的手機並部署飛馬 (Pegasus),飛馬是以色列駭客公司NSO Group所開發的間諜程式,一種能夠攔截電話和短訊以及收集存儲在手機中的其他訊息的間諜軟體,同時,它也還可以將被入侵的手機用作為一個遠端監聽設備。攻擊者被授予對電話的完全控制權。它可以存取所有數據——照片、影音、短訊和通話記錄——還可以在主人不知情的情況下打開手機的攝像頭和麥克風,實時觀察周圍環境。

駭客利用KISMET 漏洞,能在目標用戶的iPhone並在用戶不知情的情況下開始上傳大量數據,有時總計達數百兆字節。上傳的數據可包括麥克風錄製的環境音頻、加密電話內容、攝像頭拍攝的照片、設備的位置以及可能存儲的任何密碼或帳戶憑證。另外,FORCEDENTRY漏洞是一種相當精密的威脅,能夠繞過 Apple 的 BlastDoor 沙箱保護機制,駭客只要知道目標對象的電話號碼或是Apple ID的使用者名稱就能展開攻擊,完全不需要與使用者互動。

KISMET漏洞針對沒有升級的 iPhone,最早的攻擊案例發生在 2020 年 10 月,然而,從 2021 年 2 月開始,駭客針對運行 iOS 版本 14.4、14.6 和 14.7.1 的 Apple 設備則部署FORCEDENTRY 漏洞。值得指出的是,Apple 在 iOS 14 中修補了 KISMET漏洞,也於 2021 年 9 月在iOS 14.8修補了FORCEDENTRY漏洞。

Citizen Lab這份研究報告沒有明確指名,誰是使用這款間諜軟體的幕後黑手,但它指出,以色列駭客公司NSO Group表示,他們只向政府出售這項技術。

有關Pegasus間諜軟體的”部分”入侵指標(Indicator of compromise -IOCs):

Domains:

thainews.asia

stayallalone.com

breakingnewsasia.com

IPv4:

69.28.93.2

200.7.111.156

103.199.16.12

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

專家警告,Qakbot 的惡意操作不斷發展,改進攻擊鏈,逃避檢測!

通過 LNK 檔案傳遞和執行 Qakbot

Qakbot也稱為 QBot、QuackBot 和 Pinkslipbot,是一種自 2008 年以來一直活躍的資料竊取惡意軟體。根據資安公司Sophos ,Qakbot 是一種模組化且多用途的殭屍網路,它透過電子郵件傳播,可扮演成惡意軟體的傳遞網路,因此越來越受到駭客歡迎,以此投遞Trickbot 和 Emotet。與Qakbot惡意軟體有關的惡意網路的活動在上半年達到了高峰,根據Zscaler的資安研究人員發現,惡意軟體Qakbot背後的駭客正在改變他們的傳遞向量,試圖迴避檢測。

自2008 年以來,Qakbot一直是一個反復出現的威脅,從最初的銀行木馬演變為更複雜和模組化的資料竊取程式,能夠部署勒索軟體等下一階段的有效payloads。

2022年初,Qakbot通過惡意 Microsoft Office檔案中的 XLM 4.0 宏傳遞惡意軟體,這些檔案通過網路釣魚電子郵件傳遞,這些電子郵件通常包含用於財務和業務運營的關鍵字,試圖誘使用戶打開和執行它們。然而,在過去的幾個月裡,Qakbot 轉而選擇使用快捷方式 LNK 檔案作為惡意軟體的傳遞方式。這些最新的 LNK 有效payloads在執行 Qakbot DLL 的過程中也發生了變化,專家們還觀察到Qakbot會使用 PowerShell 下載惡意程式,並從 regsvr32.exe 切換到 rundlll32.exe 以載入惡意payloads試圖逃避檢測。

這些不同的方法是 Qakbot發展的一個明顯指標,它不僅可以規避防毒軟體偵測和防禦,還可以適應基礎設施中發生的重大變化。 此外,Zscaler研究人員表示 Qakbot 惡意軟體的操作者採用了程式碼混淆技術和新的攻擊鏈層,以及利用各種 URL 和副檔名(例如, .OCX、.ooccxx、.dat或 .gyp)進行投遞有效payloads,以更有效地隱藏其操作。

Zscaler在過去 6 個月對Qakbot的監控

面對傳統的基於特徵碼的檢測,Qakbot 的模組化設計和彈性使其成為許多駭客組織的理想首選。

有關Qakbot的”部分”入侵指標(Indicator of compromise -IOCs):

Payload URLs:

anukulvivah.comnobeltech[.]com.pk

griffinsinternationalschool.intierrasdecuyo[.]com.ar

tajir[.]comdocumentostelsen[.]com

Hashes

XLSB:

58F76FA1C0147D4142BFE543585B583F

LNK:

54A10B41A7B12233D0C9EACD11036954

Qakbot:

529FB9186FA6E45FD4B7D2798C7C553C

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日本遊戲大廠Bandai Namco(萬代南夢宮)疑遭駭,傳出幕後的黑手是它–BlackCat勒索軟體

萬代南夢宮(Bandai Namco)是日本的大型電玩、手機與家用電子遊戲發行商,旗下擁有多款熱門遊戲的 IP與發行權,包含《艾爾登法環》、《航海王》、《火影忍者》、《七龍珠》等。近年來,大型電玩遊戲大廠遭網路攻擊變得普遍,在 2020 年卡普空(Capcom)Ranger Locker勒索軟體加密,被盜1TB 數據、法國電玩商Ubisoft(育碧)和德國Crytek遭 Egregor勒索軟體攻擊、日本特庫摩(Koei Tecmo) 遭駭,駭客將盜來的數據免費釋出。隨後 在2021 年 CD Projekt Red 遭駭客攻擊,內部數據流至網上;同年 美商藝電(EA)也遭到攻擊,780GB的遊戲原始碼及除錯工具被竊取等資安事件。

目前萬代南夢宮似乎是BlackCat勒索軟體的最新受害者,根據追踪惡意軟體的資安團隊vx-underground,勒索軟體集團BlackCat(也稱為ALPHV )已宣稱成功入侵遊戲發行商Bandai Namco。然而,BlackCat還沒釋出任何被盜數據的樣本,萬代南夢宮官方沒有出面證實消息或發表任何評論。

BlackCat勒索軟體至少從 2021 年 12 月開始活躍,是第一個以Rust程式語言撰寫的勒索軟體,這樣的選擇使他們能夠規避來自傳統安全解決方案的檢測。此外,這使得他們的惡意軟體能跨平台,可在 Windows 和任何 *NIX 系統上自由啟動。根據美國聯邦調查局 (FBI)發布的緊急警報,自 2021 年 11 月首次發現 BlackCat 勒索軟體攻擊以來,截至 2022 年 3 月,全球至少有 60 個實體受害。BlackCat發動過的重大攻擊,包含 1 月份攻擊了德國燃料公司 OilTanking GmbH ,引起大約 200 個加油站的供應中斷,以及 2 月份攻擊瑞士航空企業Swissport 導致服務中斷、航班延誤和敏感數據洩露。最近,勒索軟體集團聲稱對美國佛羅里達國際大學的攻擊負責,竊取了 1.2TB數據。

勒索軟體的操作不斷演變,幾週前,LockBit 勒索軟體組織宣布漏洞賞金(Bug Bounty)計劃,視乎漏洞嚴重性,提供從1000 美元到100 萬美元不等的獎金。根據vx-underground,最近BlackCat建立了一個名為Alphv Collections的可搜索外洩數據的資料庫,使其他駭客也能有機會充分運用這些竊得的資料,值得一提的是, BlackCat 在6月中通過建立一個專門的明網網站,允許受害者的客戶和員工搜尋他們在攻擊中被盜的數據。

BlackCat(Alphv) 的公告

有關BlackCat勒索軟體的”部分”入侵指標(Indicator of compromise -IOCs):

Domain:

sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion

id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion

SHA 256:

f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6

f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89

f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

QNAP:Checkmate勒索軟體通過伺服器訊息區塊 (SMB) 來鎖定NAS用戶

又有勒索軟體攻擊台灣NAS供應商威聯通科技(QNAP)的用戶!週四(7/7)QNAP發出警告稱,一種名為 Checkmate 的新型勒索軟體以曝露在網際網路的伺服器訊息區塊 (Server Message Block -SMB) 服務來鎖定NAS用戶。

這家 NAS 製造商的在安全公告中表示,他們正在調查Checkmate勒索軟體,初步調查表明,Checkmate使用字典攻擊(Dictionary Attack)來破解密碼較弱的用戶,字典攻擊是一種暴力法攻擊,駭客將字典裡面所查的到的任何單字或片語都輸入程式中,然後使用該程式一個一個的去嘗試破解密碼。值得一提的,QNAP沒有進一步說明他們是怎麼知道駭客使用的是字典攻擊,而不是其他攻擊手法。

根據QNAP的說法,一旦駭客成功登錄到設備,就會對共享檔案夾中的數據進行加密,並在每個檔案夾中留下一個檔案名為!CHECKMATE_DECRYPTION_README”的勒索信。SMB 是一種客戶端-伺服器通訊協定,用於共享對各種設備、檔案等的存取,QNAP 建議其用戶斷開其 SMB 服務與互聯網的連接,並敦促其他使用者通過使用 VPN 服務來限制他們的曝露,目前QNAP沒有透露有多少設備被攻擊。

然而,幾位 QNAP 用戶在 BleepingComputer 論壇上表示,他們上個月受到了 Checkmate勒索軟體的攻擊,根據贖勒索信,受害者必須支付 15,000 美元的比特幣贖金才能獲得解密工具。

一名受害者在 BleepingComputer 論壇上公開了勒索信

為了因應Checkmate勒索軟體的攻擊,QNAP呼籲用戶採取以下步驟:

QNAP在過去兩年中一直在處理多個攻擊其用戶的勒索軟體組織,包含AgeLockerQlockereCh0raix和Deadbolt等勒索軟體,QNAP自2022年初以來自三次遭到DeadBolt 勒索軟體的攻擊,數千個NAS設備受感染。大約兩週前,該公司表示正在“徹底調查”一系列 Deadbolt針對其NAS設備用戶的新攻擊。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

CISA下令聯邦機構在7 月 22 日前,完成修補Windows LSA 漏洞!

近日,美國網路安全暨基礎設施安全局(CISA) 下令,聯邦民事行政部(FCEB)必須在 7 月 22 日之前,對影響微軟設備的安全漏洞採取補救措施。該漏洞被跟踪為CVE-2022-26925,一個屬於Windows Local Security Authority(Windows LSA)的欺騙漏洞,並被確認為新的 PetitPotam Windows NTLM Relay 的攻擊向量。Windows LSA是一個受保護的Windows子系統,負責執行Windows系統的安全政策,會在用戶登入時驗證用戶身分,亦可處理密碼變更或產生存取權杖。Windows Local Security Authority(LSA) 存在的高風險漏洞,能影響多數 Windows 版本,未經身份認證的攻擊者可輕易利用此漏洞透過 NTLM 強制取得身份認證,以利進行後續攻擊 。

據悉在今年5月,CISA曾將CVE-2022-26925納入在已知遭開採漏洞(Known Exploited Vulnerabilities)目錄中,並發布了強制修補的命令,但很快CISA就將這條公告刪除。原因是微軟在2022年5月的修補星期二(Patch Tuseday) 中,雖然聲稱解決了CVE-2022-26925漏洞,但在安裝修補後該問題仍然沒有徹底解決,在 Windows Server 網域控制器上部署時也會觸發服務身份驗證的問題。

CISA 解釋說,在網域控制器部署上認證失敗的問題,可導致企業可能會在伺服器或客戶端遇到服務的認證失敗,如網路原則伺服器(NPS)、路由及遠端存取服務(RRAS)、Radius、擴展認證協議(EAP)和受保護可擴展認證協議(PEAP)都會受到影響。

隨後,微軟在6月向CISA通報了問題的解決方案,今天,CISA也發布了新的指南,其中包含必須遵循的 CVE-2022-26925 緩解步驟,以防止服務中斷。

根據美國聯邦約束性作業指引(binding operational directive,BOD)22-01,為了減少已知遭開採漏洞的重大風險,美國聯邦民事行政部(FCEB)必須在7月22日之前完成修補已發現的漏洞,以保護其網路。儘管該指令僅適用於聯邦機構,但 CISA 也強烈敦促美國私營和公共部門的所有組織優先修補這個被積極利用的漏洞。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”