標籤: News

根據資安外媒Privacy Affairs，在入侵宏碁印度(Acer India)僅三天後，駭客組織 Desorden表示已經入侵宏碁台灣總部的伺服器，在伺服器上發現儲存了有關其員工和產品資訊的數據，並同時聲稱也已在宏碁馬來西亞和印尼網路上發現了漏洞，就此次入侵事件駭客組織Desorden Group以email聯繫了Privacy Affairs，並表示他們並沒有竊取所有數據，只下載了與宏碁員工有關的詳細資訊。這次網路攻擊主要是想證明，宏碁的全球網路系統很容易就被入侵，另外Desorden聲稱在入侵後，立即通知了宏碁的管理層，隨後宏碁也將受入侵影響的伺服器下線。

據了解，在資料外洩的樣本中顯示了最近在10月14 日的數據，表明所謂的駭攻應該是發生在14日左右的某個時間，被盜的資料包括登錄資訊，位於台灣的伺服器和內部管理面板的密碼等。

這次新的駭客攻擊事件是在上一次Desorden攻擊了宏碁印度之後三天發生的， Desorden 表示經濟動機(financially motivated )是其駭攻原因之一，但目前仍不清楚駭客實際要求多少贖金。

Key Points:

*繼今年3月宏基遭REvil勒索軟體加密並被勒索天價14億台幣後，現被爆其印度子公司被名為”Desorden Group”的駭客組織盜取了60GB的數據

*宏基印度子公司在2012年亦曾遭駭，被盜20,000個用戶憑證

最近有駭客在一個論壇上宣傳出售宏碁超過 60 GB 的數據後，台灣電腦品牌大廠宏碁的一位發言人今天證實，該公司遭遇了今年第二次網攻事件，一個名為 Desorden Group 的駭客組織在RAID論壇 (RAID是過去幾年駭客用來勒索公司和出售被盜數據使用的論壇)上表示，它從宏碁印度(Acer India)伺服器中竊取了超過 60GB 的檔案和數據，其中包括屬於宏碁印度零售商和分銷商的客戶、公司和財務數據以及登錄的詳細資訊。作為證據，Desorden Group 還提供了一段視頻，其中展示了被盜檔案和數據庫、10,000 名客戶的記錄以及 3,000 家印度宏碁分銷商和零售商的被盜憑證。這是繼REvil在3月份的勒索攻擊之後，這家電腦巨頭的系統今年第二次遭到入侵。

宏碁發言人企業傳訊部的 Steven Chung在一封電子郵件中證實了駭攻，並聲明如下:

我們最近檢測到對我們在印度當地售後服務系統的孤立攻擊(isolated attack)。一經發現，我們立即啟動了安全協議並對我們的系統進行了全面掃描。我們正在通知印度所有可能受影響的客戶。該事件已報告給當地執法部門和印度Cert，對我們的運營和業務連續性沒有重大影響。

Desorden Group最近也曾發動過攻擊，在9月23日，Desorden 在嘉里物流馬來西亞分公司ABX Express的伺服器偷取了200GB數據，1500 萬條客戶記錄被盜，數據洩露還涉及ABX Express合作夥伴（Lazada、Shopee 等）

日本科技巨頭Olympus證實，它在周末遭到網攻，迫使其關閉了在美國、加拿大和拉丁美洲(Americas)的 IT 系統。Olympus在其網站上的一份聲明中表示:

*於 10 月 10 日在美洲的 IT 系統檢測到可疑活動，並正在努力解決此問題

*Olympus已暫停受影響的系統；事件對其他地區沒有已知的影響

Olympus沒有透露在潛在的網路安全事件期間，客戶或公司數據是否被存取或被盜，表示調查仍在進行中，也會陸續提供有關此事件的更新。這與Olympus上個月在其歐洲、中東和非洲(EMEA)的IT系統遭到網路攻擊後發表的聲明幾乎相同。上個月，儘管Olympus沒有分享任何關於攻擊者身份的資訊，但據知情人士透露，Olympus的EMEA的IT系統是從勒索軟體攻擊中恢復過來，在受感染的系統上留下了來自 BlackMatter勒索軟體組織的勒索信。

Olympus沒有透露有關襲擊其美洲 IT 系統的攻擊性質的詳細資訊，但眾所周知，勒索軟體組織會在周末和假期進行攻擊以延遲檢測。FBI 和 CISA在 8 月發布的聯合諮詢中表示，他們“觀察到在美國的假期和周末（辦公室通常關閉時）發生的極具影響力的勒索軟體攻擊有所增加。

資安公司Egnyte表示，在短短一個月內像Olympus這樣的科技巨頭的第二次網路攻擊是一個重要的警示：任何大型跨國公司都不應認為自己可以避免於勒索軟體攻擊。

美國網路安全和基礎設施安全局 (CISA)和聯邦調查局(FBI)今天向美國政府和私營企業發布了一份聯合安全警告，敦促組織在假期和周末持續並積極地監控勒索軟體的威脅，並建議確認 IT人員在這些時間”隨叫隨到”，以應對勒索軟體攻擊。由於攻擊者意識到，如果他們在 IT或資安團隊下班或人數較少時進行破壞並在公司內部網路中移動，他們更有可能不被發現。即使他們的入侵被檢測到，但一些警報可能不會被及即時讀取或注意到，讓攻擊者在入侵時占得先機。

再加上大多數勒索軟體都更新了他們的程式碼以加快加密程式，大多數攻擊通常只需要幾個小時就能從最初的破壞到加密公司的伺服器，這讓 IT團隊幾乎沒有時間做出反應。

CISA和FBI表示，網路犯罪分子和APT駭客傾向在假期期間不休息而進行攻擊，勒索軟體在母親節、美國陣亡將士紀念日(Memorial Day)和美國獨立日假期等各大節慶的週末發動攻擊的趨勢在今年飆升，組織得思量相對應的營運模式以對抗及防禦勒索攻擊。他們敦促組織採取措施保護他們的系統，減少他們的暴露，並可能“在他們的網路上進行先發制人的威脅搜尋，以尋找威脅行為者的跡象”。

CISA和 FBI 點名3起在周末和假期發生的知名勒索軟體事件:

*操作Darkside 勒索軟體組織於 5 月 7 日(星期六)攻擊了美國最大燃油管道公司Colonial Pipeline。Colonial Pipeline 還向 DarkSide支付了 440 萬美元的贖金，（美國司法部後來沒收了一個 DarkSide 加密貨幣錢包，收回了大部分已支付的贖金）。

*REvil 勒索軟體對JBS Foods的攻擊發生在美國陣亡將士紀念週末假期，JBS向 REvil付了 1100 萬美元的贖金。

*REvil 勒索軟體對IT軟體製造商Kaseya的攻擊發生在 7 月 4 日美國假期期間，攻擊了數十名 Kaseya 客戶和多達 1,500 家其他下游企業。

另外，CISA和FBI建議組織可採取多種措施來保護他們的系統，包括：

*對數據進行離線備份

*避免點擊可疑的連結

*保護和監控遠端桌面協議的端點

*更新操作系統和軟體

*使用高強度密碼

*使用多因素身份驗證

CISA和FBI還建議在週末讓IT人員輪班並敦促組織適應這種新的營運模式並相應地改變他們的防禦措施， 根據 FBI 網路犯罪投訴中心 (IC3) 的數據，在過去一個月裡，發現以下勒索軟體的攻擊最活躍:

*Conti

*PYSA

*LockBit

*RansomEXX/Defray777

*Zeppelin

*Crysis/Dharma/Phobos

CISA 和 FBI補充說，即使他們今天發布了這份聯合公告，但沒跡象表明即將到來的美國勞動節(Labor Day)周末會發生重大勒索軟體攻擊。

新加坡電腦網路危機處理暨協調中心(SingCert)已針對ALTDOS發出警報

Key Points:

*已知受害目標包括新加坡房地產商OrangeTee、泰國互聯網服務提供商3BB、孟加拉跨國企業集團BEXIMCO、Audio House、Vhive、CGSEC 等公司

* 自 2020 年 12 月以來，ALTDOS 駭客組織對孟加拉、新加坡和泰國的公司進行攻擊和勒索

*已看到該組織部署勒索軟體，用被盜數據勒索公司，或在駭客論壇上出售數據。

*傳出最新的受害者寫信給駭客：“你們複雜的攻擊讓我們筋疲力盡，不論在精神上還是經濟上。”

在過去的八個月裡，一個自稱為 ALTDOS 的網路犯罪組織在東南亞肆虐，對企業發動攻擊，以竊取他們的數據並勒索贖金或在暗網論壇上出售。該組織於 2020 年 12 月首次被發現，對孟加拉、新加坡和泰國等地的公司遭入侵有關。與俄羅斯駭客組織要求的高額贖金，ALTDOS要求的金額相對地低，據了解，已有70%受害企業願意支付贖金，據外媒報導，ALTDOS的作案手法只能用混亂來形容，他們沒有特定的方式，該組織有時候被發現部署勒索軟體來加密受害者的數據，有時候也被發現只竊取機密資訊。此外，在某些案例，ALTDOS聯繫受害者並要求支付贖金，但也發現在另外一些案例，ALTDOS只是直接在網上拍賣或發布受害者的數據。

就在本月，ALTDOS仍在繼續製造新的受害者，新加坡今天發布了一份警報，說明了該組織最常見的策略。根據這份的警報，ALTDOS 入侵通常發生在該組織開採面向公眾的 Web 伺服器中的漏洞之後，他們最常見的目標是 Apache Web 伺服器。

一旦他們獲得初步立足點，該組織就會部署後門以建立持久性，然後部署 Cobalt Strike 滲透工具以擴展他們對其他系統的存取。

在該組織竊取受害者的數據後，也曾看到 ALTDOS也曾見過他們以硬碟抹除方式, 擦去可供鑑識的足跡。

一旦入侵進入最後階段，如果該組織尚未部署勒索軟軟體，他們通常會使用電子郵件聯繫受害者並要求支付贖金。如果受害者不付款，他們通常會在暗網上洩露數據。對於大型的企業，ALTDOS還會利用 DDoS 攻擊來施壓力。

ALTDOS曾入侵的公司包括：

• Country Group Securities (CGSEC)  – 一家泰國金融和股票市場公司（2020 年 12 月）。
• Mono Next Public Company Limited  – 一家泰國大眾媒體公司（2021 年 1 月）。
• 孟加拉出入口公司 (BEXIMCO)  – 一家跨國企業集團（2021 年 1 月）。
• 3BB  – 泰國的互聯網服務提供商（2021 年 1 月）。
• Vhive  – 新加坡受歡迎的零售家具連鎖店（2021 年 3 月）。
• Audio House  – 新加坡的消費電子產品零售商（2021 年 6 月）。
• Unispec Group Singapore  – 一家從事海運業的公司，總部位於新加坡（2021 年 6 月）。
• OrangeTee  – 一家新加坡房地產公司（2021 年 8 月）。

Key Points:

* Liquid的新加坡子公司Quoine PTE疑是駭客攻進的破口

*Liquid 還公佈了攻擊者的錢包地址

8月19日，總部位於東京的加密貨幣交易所 Liquid 表示，駭客入侵了其伺服器並竊取了以今天的匯率估計至少價值約 9700 萬美元的加密資產，為了應對這次攻擊，交易所將資產轉移到離線存儲的冷錢包中，另外要求用戶不要將加密貨幣資產存入他們的 Liquid 錢包，暫停了存取款服務，這起攻擊事件目前仍然在調查中，但根據日本Liquid的部落格發文，此次攻擊追溯到 Liquid 的新加坡子公司 Quoine PTE，並表示是因Quoine PTE的多方計算（Multi-Party Computation，MPC)錢包遭駭客入侵所引起，但也沒有再透露更多細節。

區塊鏈分析公司Elliptic追踪到 Liquid被盜的資金，確定被盜貨幣價值將近 1 億美元，並表示駭客使用去中心化交易所（例如 Uniswap 和 SushiSwap）將其中有價值4500萬美元的加密貨幣，透過去中心化交易所轉換成以太幣，以避免資產被凍結。據了解，這已不是 Liquid 第一次遭到駭客攻擊，2020 年 11 月底，該交易所也曾遭駭客攻擊，雖然沒有任何加密資產的損失，但駭客成功盜取其顧客資料。

Liquid 還公佈了駭客的錢包地址，分別爲：

BTC 地址：1Fx1bhbCwp5LU2gHxfRNiSHi1QSHwZLf7q

ETH 地址：0x5578840aae68682a9779623fa9e8714802b59946

TRX 地址：TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp

XRP 地址：rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby

上週，另一起針對加密貨幣的攻擊，一名綽號為Mr. White Hat的駭客從 Poly Network竊取了價值 6 億美元的加密貨幣，後來表態歸還，並獲Poly Network邀他出任首席安全顧問。