CISA、FBI: 勒索軟體傾向於在假期和周末發動攻擊

美國網路安全和基礎設施安全局 (CISA)和聯邦調查局(FBI)今天向美國政府和私營企業發布了一份聯合安全警告,敦促組織在假期和周末持續並積極地監控勒索軟體的威脅,並建議確認 IT人員在這些時間”隨叫隨到”,以應對勒索軟體攻擊。由於攻擊者意識到,如果他們在 IT或資安團隊下班或人數較少時進行破壞並在公司內部網路中移動,他們更有可能不被發現。即使他們的入侵被檢測到,但一些警報可能不會被及即時讀取或注意到,讓攻擊者在入侵時占得先機。

再加上大多數勒索軟體都更新了他們的程式碼以加快加密程式,大多數攻擊通常只需要幾個小時就能從最初的破壞到加密公司的伺服器,這讓 IT團隊幾乎沒有時間做出反應。

CISA和FBI表示,網路犯罪分子和APT駭客傾向在假期期間不休息而進行攻擊,勒索軟體在母親節、美國陣亡將士紀念日(Memorial Day)和美國獨立日假期等各大節慶的週末發動攻擊的趨勢在今年飆升,組織得思量相對應的營運模式以對抗及防禦勒索攻擊。他們敦促組織採取措施保護他們的系統,減少他們的暴露,並可能“在他們的網路上進行先發制人的威脅搜尋,以尋找威脅行為者的跡象”。

CISA和 FBI 點名3起在周末和假期發生的知名勒索軟體事件:

*操作Darkside 勒索軟體組織於 5 月 7 日(星期六)攻擊了美國最大燃油管道公司Colonial Pipeline。Colonial Pipeline 還向 DarkSide支付了 440 萬美元的贖金,(美國司法部後來沒收了一個 DarkSide 加密貨幣錢包,收回了大部分已支付的贖金)。

*REvil 勒索軟體對JBS Foods的攻擊發生在美國陣亡將士紀念週末假期,JBS向 REvil付了 1100 萬美元的贖金。

*REvil 勒索軟體對IT軟體製造商Kaseya的攻擊發生在 7 月 4 日美國假期期間,攻擊了數十名 Kaseya 客戶和多達 1,500 家其他下游企業。

另外,CISA和FBI建議組織可採取多種措施來保護他們的系統,包括:

*對數據進行離線備份

*避免點擊可疑的連結

*保護和監控遠端桌面協議的端點

*更新操作系統和軟體

*使用高強度密碼

*使用多因素身份驗證

CISA和FBI還建議在週末讓IT人員輪班並敦促組織適應這種新的營運模式並相應地改變他們的防禦措施, 根據 FBI 網路犯罪投訴中心 (IC3) 的數據,在過去一個月裡,發現以下勒索軟體的攻擊最活躍:

*Conti

*PYSA

*LockBit

*RansomEXX/Defray777

*Zeppelin

*Crysis/Dharma/Phobos

CISA 和 FBI補充說,即使他們今天發布了這份聯合公告,但沒跡象表明即將到來的美國勞動節(Labor Day)周末會發生重大勒索軟體攻擊。

勒索軟體LockBit2.0攻擊泰國的曼谷航空,乘客的個人識別資訊(PII)遭外洩, 200多GB的數據被公開

Photo Credit: The record future

曼谷航空(Bangkok Airways)公司在8 月26 日給客戶的一份聲明中,就涉及護照資訊和其他個人數據的外洩發表道歉,該公司表示最初的入侵發生在 8 月 23 日,到目前為止,調查發現攻擊者可能已經存取了一些個人數據,但未說明有多少乘客受到影響。

操作LockBit2.0勒索軟體的背後駭客聲稱他們是這次攻擊曼谷航空的肇事者,並在其揭秘網站上發布消息,威脅該公司如果不支付高額贖金,就會洩露數據。LockBit2.0給了該航空公司五天的時間來付贖金,但很明顯的曼谷航空沒有乖乖就範而自行公開被入侵的情況,因此Lockbit2.0也在週六(8月28日)公佈了從曼谷航空盜來的200多GB的數據。

雖然大部分被盜資料似乎是與其業務有關的檔案,但曼谷航空公司表示,駭客仍設法竊取了包含部分乘客個人識別資訊的檔案。根據航空公司的說法,被盜檔案中包含的一些個人數據包括乘客姓名、姓氏、國籍、性別、電話號碼、電子郵件、地址、聯繫資訊、護照資訊、歷史旅行資訊,部分信用卡資訊和特殊餐飲資訊等數據,根據曼谷航空新聞稿,該公司在發現事件後,立即採取行動,在網路安全團隊的協助下調查並遏制該事件。目前,該公司正在緊急進行調查,核實洩露的數據和受影響的乘客,並採取相關措施加強其IT系統,並已將入侵行為通知了當地執法部門。

該公司建議乘客留意要警惕任何聲稱來自該航空公司的電子郵件或電話,因為這些可能是使用被盜數據進行的網路釣魚。曼谷航空公司還建議乘客盡快聯繫他們的銀行或信用卡提供商並更改密碼。

LockBit2.0是在 REvil、DarkSide 和 Avaddon 等競爭對手在今年夏天退出勒索市場之後,當今發動最多攻擊的勒索軟體之一。

本月早些時候,澳洲網路安全中心發布了一項警報,指出該LockBit勒索軟體在中斷其活動後重新啟動,並在第二波中以更大的力度回歸成為新的LockBit 2.0,其攻擊的特點是利用 CVE-20218-13379,這是 Fortinet FortiOS 和 FortiProxy 中的一個已知漏洞,允許駭客獲得對受感染網路的初始存取控制權。另外,LockBit2.0稱其工具StealBit是世上最迅速盜竊數據的神器,能在不到 20 分鐘內從受感染的系統迅速下載 100 GB 的數據。

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a

在美國西維吉尼亞州及俄亥俄州的連鎖醫療系統遭到Hive攻擊後,FBI發布了針對 Hive 勒索軟體的警報

自6月末以來,Hive勒索軟體已攻擊至少28個組織(此數字為拒絕支付贖金的受害者),最近被證實,在8月15日遭Hive入侵的美國非營利醫療系統Memorial Health System,為了恢復八百台伺服器、三千多台個人設備並以防200,000名患者的資料外洩,已付Hive贖金以換取解密金鑰

在上週Hive勒索軟體入侵了美國多間醫院使用的Memorial Health System後,美國聯邦調查局(FBI)發布了有關 Hive 勒索軟體的警報,該警報說,Hive於 6 月首次出現,是一支由會員操作(affiliate-operated )的勒索軟體,勒索軟體會員(Ransomware affiliate)是指租用勒索軟體即服務(Ransomware as a Service;RaaS)平台的存取權限、策劃入侵企業網路、使用“租用的勒索軟體”加密檔案,然後成功從勒索賺取佣金的個人或團體。Hive主要利用帶有惡意附檔的釣魚電子郵件以獲取存取權限和遠端桌面連線在企業的網路上橫向移動。在部署加密程式之前,Hive 勒索軟體會竊取他們認為有價值的檔案,以迫使受害者在數據外洩的威脅下支付贖金。FBI示,Hive會調查備份、複製檔案和關閉所有不利它加密的防病毒或安全程式(如Windows Defender),被Hive加密過的檔案通常附有.hive的副檔名。在加密任務執行後,Hive會以一個名hive.bat 的script將自己刪除。

FBI在警報編號為MC-000150-MW的FBI Flash,除了提供入侵指標 (IoC) 外,

FBI也說在 Hive 勒索軟體攻擊中觀察到一些它使用的檔案:

*Winlo.exe – used to drop 7zG.exe, a legitimate version of the 7-Zip file archiver

*7zG.exe – version 19.0.0 of the 7-Zip file archiver

*Winlo_dump_64_SCY.exe – used to encrypt files with the .KEY extension and to drop the ransom note HOW_TO_DECRYPT.txt

Photo Credit: BleepingComputer

到目前為止,Hive至少攻擊了28 個組織,其中包括在 8 月 15 日遭到攻擊Memorial Health System 。這家非營利組織在西維吉尼亞州及俄亥俄州經營多家醫院、診所和醫療保健場所。Hive的攻擊使三家醫院——(Marietta Memorial 醫院, Selby General 醫院和Sistersville General醫院)——的醫護人員被迫使用筆和紙工作及記錄,需要放射治療或其他特殊治療的患者被轉移到正常運作的醫療機構。據了解,在攻擊發生的三天後Memorial Health System總裁 Scott Cantley在一份聲明中說,“我們已經達成了一項協商解決方案,並正在開始盡快、盡可能安全地恢復運營的過程。”他隨後向Marietta times承認,支付了贖金以接收解密金鑰。

美國醫院協會網路安全高級顧問 John Riggi表示,Hive是醫療機構特別關注的勒索軟體。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Hive Tor Domain:

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Winlo.exe

MD5 b5045d802394f4560280a7404af69263

SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

File Path Observed C:\Windows\SysWOW64\winlo.exe

Description Drops 7zG.exe

7zG.exe

MD5 04FB3AE7F05C8BC333125972BA907398

Description This is a legitimate 7zip, version 19.0.0

Drops Winlo_dump_64_SCY.exe

Winlo_dump_64_SCY.exe

MD5 BEE9BA70F36FF250B31A6FDF7FA8AFEB

Description Encrypts files with *.key.* extension

Drops HOW_TO_DECRYPT.txt

HOW_TO_DECRYPT.txt

Description

Stops and disables Windows Defender

Deletes all Windows Defender definitions

Removes context menu for Windows Defender

Stops the following services and disables them from restart

 LanmanWorkstation

 SamSs

 SDRSVC

 SstpSVc

 UI0Detect

 Vmicvss

 Vmss

 VSS

 Wbengine

 Unistoresvc

Attempts to delete Volume Shadow Copies (vssadmin and wmic)

Deletes Windows Event Logs -> System, Security, Application

and powershell

Uses notepad++ to create key file

Changes bootup to ignore errors and not attempt recovery

Drops PowerShell script

ALTDOS 駭客組織在東南亞肆虐,新加坡、泰國和孟加拉國首當其衝

新加坡電腦網路危機處理暨協調中心(SingCert)已針對ALTDOS發出警報

Key Points:

*已知受害目標包括新加坡房地產商OrangeTee、泰國互聯網服務提供商3BB、孟加拉跨國企業集團BEXIMCO、Audio House、Vhive、CGSEC 等公司

* 自 2020 年 12 月以來,ALTDOS 駭客組織對孟加拉、新加坡和泰國的公司進行攻擊和勒索

*已看到該組織部署勒索軟體,用被盜數據勒索公司,或在駭客論壇上出售數據。

*傳出最新的受害者寫信給駭客:“你們複雜的攻擊讓我們筋疲力盡,不論在精神上還是經濟上。”

在過去的八個月裡,一個自稱為 ALTDOS 的網路犯罪組織在東南亞肆虐,對企業發動攻擊,以竊取他們的數據並勒索贖金或在暗網論壇上出售。該組織於 2020 年 12 月首次被發現,對孟加拉、新加坡和泰國等地的公司遭入侵有關。與俄羅斯駭客組織要求的高額贖金,ALTDOS要求的金額相對地低,據了解,已有70%受害企業願意支付贖金,據外媒報導,ALTDOS的作案手法只能用混亂來形容,他們沒有特定的方式,該組織有時候被發現部署勒索軟體來加密受害者的數據,有時候也被發現只竊取機密資訊。此外,在某些案例,ALTDOS聯繫受害者並要求支付贖金,但也發現在另外一些案例,ALTDOS只是直接在網上拍賣或發布受害者的數據。

受害者之一的新加坡Audio House 曾告訴《海峽時報》,其數據庫包含大約 180,000 名客戶的資訊被竊,並說 ALTDOS曾通過電子郵件威脅他們。
受害者之一的新加坡房地產商OrangeTee曾通知 ALTDOS,他們不會支付任何贖金,因為他們的董事會沒有批准,ALTDOS威脅公開OrangeTee的資訊

就在本月,ALTDOS仍在繼續製造新的受害者,新加坡今天發布了一份警報,說明了該組織最常見的策略。根據這份的警報,ALTDOS 入侵通常發生在該組織開採面向公眾的 Web 伺服器中的漏洞之後,他們最常見的目標是 Apache Web 伺服器。

一旦他們獲得初步立足點,該組織就會部署後門以建立持久性,然後部署 Cobalt Strike 滲透工具以擴展他們對其他系統的存取。

在該組織竊取受害者的數據後,也看到 ALTDOS也曾見過他們以硬碟抹除方式, 擦去可供鑑識的足跡。

一旦入侵進入最後階段,如果該組織尚未部署勒索軟軟體,他們通常會使用電子郵件聯繫受害者並要求支付贖金。如果受害者不付款,他們通常會在暗網上洩露數據。對於大型的企業,ALTDOS還會利用 DDoS 攻擊來施壓力。

ALTDOS曾入侵的公司包括:

FBI 針對勒索軟體會員(Ransomware affiliate )首次發出警報,直接點名”OnePercent Group”

美國聯邦調查局(Federal Bureau of Investigation;FBI) 在8月23日,針對勒索軟體會員的作案手法發布了其首個公開警報(警報編號為CU-000149-MW的FBI Flash )。勒索軟體會員(Ransomware affiliate) 一個相對較新的術語,是指租用勒索軟體即服務(Ransomware as a Service;RaaS)平台的存取權限、策劃入侵企業網路、使用“租用的勒索軟體”加密檔案,然後成功從勒索賺取佣金的個人或團體。

美國聯邦調查局點名的勒索軟體會員為”OnePercent Group”,FBI表示該團體至少自 2020 年 11 月以來一直活躍,積極針對組織進行勒索軟體攻擊。根據 FBI 警報,該團體主要依靠以下策略進行攻擊:

*利用網路釣魚電子郵件活動用 IcedID 木馬感染受害者。

*利用 IcedID 木馬在受感染的網路上部署額外的payloads。

*利用 Cobalt Strike 滲透工具在受害者的網路中橫向移動。

*利用 Rclone 從受害者的伺服器中竊取敏感數據。

*加密數據並要求贖金。

*給受害者打電話或發電子郵件威脅說,如果他們不付款,就會在暗網上出售他們被盜的數據。

OnePercent Group是知名勒索軟體REvil、Maze 和 Egregor 的會員

雖然 FBI 沒有指出OnePercent Group哪一個勒索軟體的會員,但根據業內人士的消息,OnePercent Group與運作 REvil (Sodinokibi) 勒索軟體的駭客有長期合作,並且還與 Maze和 Egregor合作。雖然 FBI 沒有提供有關 OnePercent Group 過去攻擊的任何資訊,但 FBI 的 IOC 列表中提到的兩個C2伺服器(golddisco[.]top 和 june85[.]cyou)也出現在 FireEye 關於 UNC2198 駭客組織的報告中,該駭客組織利用IcedID 部署了 Maze 和 Egregor 勒索軟體。

有關 OnePercent Group的入侵指標(Indicator of compromise -IOCs):

Onion Domain:

5mvifa3xq5m7sou3xzaajfz7h6eserp5fnkwotohns5pgbb5oxty3zad.onion

IPs and Domains

157.245.239.187

31.187.64.199

206.189.227.145

167.71.224.39

80.82.67.221

138.197.179.153

134.209.203.30

nix1.xyz

golddisco.top

delokijio.pw

june85.cyou

intensemisha.cyou

biggarderoub.cyou

d30qpb9e10re4o.cloudfront.net

SHA256

Rclone.exe (64 bit)

ECA9FAC6848545FF9386176773810F96323FEFF0D575C4B6E1C55F

8DB842E7FE

SHA1

Rclone.exe (64 bit)

C00CFB456FC6AF0376FBEA877B742594C443DF97

SHA256

Rclone.exe (32 bit)

E70ED531C8A12E7ECCE83223D7B9AA1895110DC140EDF85AFC31C

8C5CD580116

SHA1

Rclone.exe (32 bit)

A1D985E13C07EDDFA2721B14F7C9F869B0D733C9

TOR URL: http://5mvifa3xq5m7sou3xzaajfz7h6eserp5fnkwotohns5pgbb5oxty

3zad. Onion

日本加密貨幣交易所 Liquid的熱錢包遭駭客入侵,被盜約9700 萬美元

Key Points:

* Liquid的新加坡子公司Quoine PTE疑是駭客攻進的破口

*Liquid 還公佈了攻擊者的錢包地址

8月19日,總部位於東京的加密貨幣交易所 Liquid 表示,駭客入侵了其伺服器並竊取了以今天的匯率估計至少價值約 9700 萬美元的加密資產,為了應對這次攻擊,交易所將資產轉移到離線存儲的冷錢包中,另外要求用戶不要將加密貨幣資產存入他們的 Liquid 錢包,暫停了存取款服務,這起攻擊事件目前仍然在調查中,但根據日本Liquid的部落格發文,此次攻擊追溯到 Liquid 的新加坡子公司 Quoine PTE,並表示是因Quoine PTE的多方計算(Multi-Party Computation,MPC)錢包遭駭客入侵所引起,但也沒有再透露更多細節。

區塊鏈分析公司Elliptic追踪到 Liquid被盜的資金,確定被盜貨幣價值將近 1 億美元,並表示駭客使用去中心化交易所(例如 Uniswap 和 SushiSwap)將其中有價值4500萬美元的加密貨幣,透過去中心化交易所轉換成以太幣,以避免資產被凍結。據了解,這已不是 Liquid 第一次遭到駭客攻擊,2020 年 11 月底,該交易所也曾遭駭客攻擊,雖然沒有任何加密資產的損失,但駭客成功盜取其顧客資料。

Liquid 還公佈了駭客的錢包地址,分別爲:

BTC 地址:1Fx1bhbCwp5LU2gHxfRNiSHi1QSHwZLf7q

ETH 地址:0x5578840aae68682a9779623fa9e8714802b59946

TRX 地址:TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp

XRP 地址:rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby

上週,另一起針對加密貨幣的攻擊,一名綽號為Mr. White Hat的駭客從 Poly Network竊取了價值 6 億美元的加密貨幣,後來表態歸還,並獲Poly Network邀他出任首席安全顧問。

新型勒索軟體Hive作惡,致使美國醫療連鎖機構使用的Memorial Health System的IT系統大當機,病患個資遭外洩。

Key Points:

*Hive的攻擊使美國西維吉尼亞州及俄亥俄州的三家醫院,數十個門診,被迫取消預約的手術,患者被迫轉移至其他醫療機構。

*Hive竊取了Memorial Health System中的數據庫,包含 200,00名患者的資料,例如社會安全號碼、姓名和出生日期等

*醫護人員需用筆和紙工作及記錄,需要放射治療或其他特殊治療的患者被轉移到正常運作的醫療機構

Image

“Memorial Health System”實際上是一個小型系統,是由3家醫院(Marietta Memorial 醫院, Selby General 醫院 and Sistersville General醫院)組成的非營利美國醫療系統,擁有 3,000 多名員工。在8月15日遭Hive勒索軟體攻擊,三家醫院的數十個門診的IT系統癱瘓,導致手術取消、患者轉移,目前其影響仍在持續。

Memorial Health System的聲明中給出了轉移指示,將患者改道到最近正常運作的診所。儘管所有急診科將繼續接收患有心肌問題、中風和嚴重創傷的患者,但放射治療、內部通信、財務運營和一些診斷仍然無法正常工作。目前,受影響的醫護人員將繼續使用筆和紙工作,另外 COVID-19 疫苗接種包括預約和所有預定的第二劑也已取消,直至另行通知。據外媒BleepingComputer報導, 已經看到證據表明攻擊者竊取了數據庫,200,00名患者個資被洩漏。

Hive是一種新型的勒索軟體,於2021年6月浮出水面,儘管活動時間很短,但已經發起多次攻擊,Hive跟其他勒索軟體一樣,在暗網設有揭秘網站,一個名為Hive Leaks的網站,用作公開受害者有關數據和資訊以作威脅與敲詐,勒索軟體攻擊導致醫療系統長時間當機和其他系統的中斷給醫護帶來了嚴峻的挑戰和驚人的影響。2021年 5 月份Scripps Health遭勒索軟體攻擊,長達一個月的網路中斷,醫院公布有14萬餘病人資訊被洩漏,6月份病患提告Scripps Health未能保護其個資,該事件總共造成1.127 億美元的損失。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Domain: hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion

SHA 1: 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618

SHA 256: 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618

MD5: c3aceb1e2eb3a6a3ec54e32ee620721e

SHA 256: fdbc66ebe7af710e15946e1541e2e81ddfd62aa3b35339288a9a244fb56a74cf

SHA 256: e1a7ddbf735d5c1cb9097d7614840c00e5c4d5107fa687c0ab2a2ec8948ef84e

SHA 256: c04509c1b80c129a7486119436c9ada5b0505358e97c1508b2cfb5c2a177ed11

IT顧問巨頭埃森哲(Accenture)遭LockBit2.0勒索軟體攻擊,被盜6TB 數據,勒索5千萬美元

財富 500 強公司埃森哲(Accenture)已成為LockBit2.0勒索軟體攻擊的受害者, 在8月11日表示,該事件並未影響其營運,並且已經從備份中恢復了受影響的系統。儘管埃森哲強調未受影響,但根據資安公司 Cyble,LockBit2.0取得了 6TB 的數據並要求 5,000 萬美元的贖金,同時也表示他們的入侵可能是在埃森哲的內鬼(insider)幫助下達成的, 外媒ZDnet還報導稱,網路犯罪情報公司 Hudson Rock表示,有 2,500 台員工和合作夥伴的電腦在此次LockBit2.0攻擊中遭到入侵, 另外根據Darkfeed,取得了有關LockBit2.0分享進入埃森哲網路的證據(包含帳號密碼等)。據Darkfeed的說法,LockBit2.0是從埃森哲旗下的子公司”Industry X”的雲端環境下進行入侵和加密的,同時也表示為內鬼通外鬼所作的。

8月初,BleepingComputer曾報導,LockBit2.0積極招募目標企業的內鬼,幫助他們入侵和加密企業的網路,並會以百萬美元作為報酬。

LockBit2.0是LockBit背後的駭客在今年6 月底升級的版本,主打各項性能提升,稱其最新的工具StealBit是世上最迅速盜竊數據的神器,包括加密 100 GB 的資料只要 4 分 30 秒、回傳資料速率高達 100GB/20 分鐘,表現的數據凌駕在其他知名的勒索軟體如 REvil、DarkSide、Ragnar Locker、Thanos等

LockBit2.0加密速度對比表

自7月至今,LockBit2.0攻擊的個案激增,澳洲的網路安全局(ACSC)亦於早前發布警告,提醒企業提防此勒索軟體的入侵。據觀察。據觀察,LockBit2.0沒有特定的攻擊國家,包含台灣某電阻公司也於七月份受其攻擊。另外東南亞國家如越南,馬來西亞,新加坡等也有LockBit2.0的受害者。

LockBit2.0自七月起,其揭秘網站上的受害者激增,附圖為一小部分
此日本公司也被LockBit2.0攻擊

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a

研究人員發現了新的eCh0raix勒索軟體的變種,同時針對兩家NAS供應商威聯通與群暉發動攻擊

根據Palo Alto Networks資安研究人員的一份報告,eCh0raix 勒索軟體,也稱為 QNAPCrypt,現在有一個新的變種,可同時感染 QNAP (威聯通)和 Synology(群暉) 網路附加存儲(NAS)設備。

eCh0raix 勒索軟體早在2019年以來就一直活躍,並以攻擊存儲大量數據的NAS為攻擊目標,eCh0raix利用已知的漏洞進行暴力攻擊針對QNAP製造的易受攻擊的NAS伺服器。該勒索軟體被Intezer追踪為“QNAPCrypt” 被 Anomali追踪為“eCh0raix”,是用Go語言編寫,並使用AES 加密演算法來加密檔案。

今年5月,QNAP警告客戶,威脅攻擊者正在利用Roon Server零時差漏洞,用eCh0raix勒索軟體攻擊其NAS設備。而安全專家也觀察到,4月19日至26日期間遭eCh0raix勒索軟體的攻擊激增。同時,QNAP還警告其用戶AgeLocker勒索軟體攻擊的爆發。

2019年,Anomali研究人員還報告了一波eCh0raix針對Synology NAS設備的攻擊,攻擊者利用了暴力破解的方式入侵。

近日,Palo Alto Networks的Unit 42的研究人員發現一種新的eCh0raix變種,是有史以來第一次支援同時攻擊上述兩家供應商NAS設備的勒索軟體。

“Unit 42研究人員發現了一種針對Synology NAS和QNAP NAS設備的eCh0raix勒索軟體的新變種。攻擊者還利用CVE-2021-28799向QNAP設備投遞新的eCh0raix勒索軟體變種。”報告指出:“雖然eCh0raix是已知的勒索軟體,它歷來在不同的活動中分別針對QNAP和Synology的NAS設備,但這個新變種是觀測到的,首次具備同時攻擊QNAP和Synology NAS設備的功能,這表明一些勒索軟體開發人員正在投資針對優化SOHO居家辦公環境中常見的設備。”

根據來自 Cortex Xpanse的數據,Palo Alto 研究人員表示,約有 250,000 台 QNAP 和 Synology NAS 設備暴露在互聯網上。攻擊者分別對於兩個廠牌的設備,利用了CVE-2021-28799漏洞攻擊與暴力破解的方式入侵。

研究人員為保護家庭辦公室免受勒索軟體攻擊提供了以下建議:

*更新設備韌體,防止此類攻擊

*採用複雜的登錄密碼

*允許特定IP位址的裝置才能連線

有關eCh0raix勒索軟體新的變體的入侵指標(Indicator of compromise -IOCs):

Domain: veqlxhq7ub5qze3qy56zx2cig2e6tzsgxdspkubwbayqije6oatma6id.onion

URL: http://2.37.149.230/1/crp_linux_arm

URL: http://2.37.149.230/1/crp_linux_386

IPv4: 98.144.56.47

IPv4: 64.42.152.46

IPv4: 183.76.46.30

SHA 256: fedcce505a5e307c1d116d52b3122f6484b3d25fb3c4d666fe7af087cfe85349

fe4efccf56f989bf1b326dd9890681d21c97309fee61fdac8eb2081398e4d2b1

f6f6e34e93c4ec191807819bd0a3e18fe91bd390ec6c67fadc970d01c25f517b

d2ebe2a961d07501f0614b3ba511cf44cb0be2e8e342e464a20633ed7f1fc884

4691946e508348f458da1b1a7617d55d3fa4dc9679fff39993853e018fc28f8e

3c533054390bc2d04ba96089302170a806c5cdb624536037a38c9ecb5aeea75d

3b93b18ae4f3aad450897e7d02346b843e38358a0c51b834d1971824c0a30b97

奢侈品牌香奈兒南韓分公司被駭客入侵,客戶個資外洩,韓國香奈兒道歉並承諾防止再次發生

Key Points:

*香奈兒韓國分公司發生了資料庫不法存取事件,造成客戶個資外洩。

*被洩露的數據將成為社交工程和網路釣魚攻擊者手中的豐富資源。

*受香奈兒事件影響的潛在受害者數量未被公開,韓國香奈兒未提供任何身份盜用保護服務

Photo Credit:Chanel

據外媒Korea Times的報導,國際奢侈品牌香奈兒(Chanel)韓國分公司公司傳出客戶資料遭外洩,由於銷售的是昂貴奢侈品,高端客戶和貴婦們對其個資看待尤其嚴謹,因此,此事件在當地引起極大的關注。目前尚不清楚受數據洩露影響的客戶是否會對這家法國奢侈品牌的韓國公司採取法律行動。

香奈兒通知其客戶稱,駭客在 2021 年 8 月 5 日至 8 月 6 日期間入侵韓國香奈兒(Chanel Korea)管理的數據中心,由於這是存儲客戶資料的地方,因此造成敏感資料被存取甚至複製。

據了解已洩露的個資包括:姓名、生日、電話號碼和產品購買清單,同時還包含同意提供其地址、性別和電子郵件的客戶個資也被竊取了,但這家法國奢侈品牌補充說,被盜數據不包括註冊會員的用戶名和密碼。

韓國香奈兒在6日發現事件後,立即封鎖了IP和非法存取路徑,修補了用於破壞網路的漏洞,目前香奈兒 IT 團隊正在與外部資安全公司、相關政府部門、韓國訊息安全局(Korea Internet & Security Agency,KISA) 和個人信息保護委員會 (PIPC) 進行調查,韓國香奈兒也稱,這次駭客入侵攻擊沒有對其他系統造成損害。

目前尚不清楚此事件是單一事件(只在南韓)或有機會影響全球香奈兒的客戶。今年6月麥當勞遭駭,台灣、南韓客戶及員工個資被竊。