News - 竣盟科技

遭勒索軟體攻擊，多倫多Humber River醫院緊急關閉5000電腦，醫院實施灰色代碼（Code Grey）警示!

Posted on 2021 年 6 月 18 日2021 年 6 月 18 日 by blogadmin

加拿大多倫多Humber River醫院的一份聲明中，承認其系統在6月14日凌晨2點左右受到了勒索軟體攻擊，從那時起，醫院一直在「灰色代碼」（Code Grey）下運作， Code Grey是在意味著醫院基本服務喪失時所使用的警示。由於醫院工作人員無法存取電子病歷和診斷測試結果，醫院已經取消了各種門診，並在大門前派了工作人員來重新引導患者，聲明說，到目前為止，手術沒有受到影響，急診室仍然開放，但一些救護車將被轉移到其他醫院。

Humber River醫院表示，由於系統不斷更新（最近一次修補是在 6 月 13 日）並受到監控，因此立即發現了零時差攻擊，關閉了 5,000 台電腦和所有 IT 系統，包括患者健康記錄系統。醫院補充說雖然系統關閉阻止了大多數電腦被加密，但一些檔案有被損壞。

Humber River醫院表示，其 IT 部門正在與一家外部第三方資安公司合作，以使其係統恢復正常運行， 5,000 台電腦（其中 800 台是伺服器）將被手動重啟。醫院在6月15日下午的聲明中表示，系統將在接下來的 48 小時內以交錯的方式重新上線，並表示重要的是要知道沒有任何機密資料被洩露，另外醫院也沒有指出是哪個勒索軟體組織所為。

Humber River是一家大型急診醫院，擁有722張床位，每年住院30,000人次，每年接受急診就診135,000人次。每天有近 370 人尋求緊急護理。

美國電玩巨擘EA美商藝電遭駭，780GB的遊戲原始碼及除錯工具被竊取

Posted on 2021 年 6 月 11 日2021 年 6 月 11 日 by blogadmin

EA稱這不是勒索軟體攻擊，未影響業務營運，沒有對玩家的隱私造成任何風險

綜合外媒報導大型遊戲商美商藝電（EA）今坦承遭駭，內部資料被竊取，僅稱流失FIFA 國際足盟大賽和遊戲寒霜引擎Frostbite Engine原始碼和相關工具，EA 發言人在一份聲明中告訴外媒，玩家數據並未被存取，我們沒有理由相信玩家隱私存在任何風險。事件發生後，我們已加強安全措施，預計不會對我們的遊戲或業務產生影響，作為正在進行的刑事調查的一部份，我們正積極與執法部門官員和其他專家合作。

在駭客論壇上發現的消息，駭客現在正以 2800 萬美元的價格出售這批EA約780GB的數據和伺服器的存取權限，駭客還聲稱，可提供「充分利用EA所有服務的能力」。

駭客稱從該公司獲取了 780 GB 的數據:

*除錯工具、SDK 和 API 密鑰

*FIFA 21配對匹配伺服器代碼

*FIFA 22 API 密鑰和軟體開發工具包(SDK)和除錯工具

*寒霜引擎Frostbite Engine原始碼和除錯工具

*專有EA遊戲框架

*Microsoft XBOX 和 SONY 私有 SDK 和 API 密鑰

*XB PS 和 EA pfx 和 crt 密鑰

*FIFA 國際足盟大賽原始碼

*EA 玩家用作遊戲貨幣的積分

EA 在全球擁有超過 4.5 億註冊玩家，2020 年的淨收入為 55 億美元。EA其下作品包括《FIFA》、《戰鬥風雲》、《模擬市民》等長賣型作品，自家開發的「寒霜引擎」也用於許多暢銷遊戲製作。

Emsisoft資安公司的專家Brett Callow說，被竊的原始碼，可對EA的業務帶來問題，從理論上講，原始碼可以被其他開發人員複製，或在遊戲中製造外掛。Check Point發言人則說，無論如何原始碼只要外洩都不是好事，駭客可在原始碼中找到更深層的漏洞並加以利用，或將先前的原始碼在暗網上賣給其他惡意威脅行為者。

Source:

https://edition.cnn.com/2021/06/10/tech/electronic-arts-hack/index.html

https://www.theverge.com/2021/6/10/22528003/ea-data-breach-frostbite-fifa-internal-tools-hack

https://www.bbc.com/news/technology-57431987

https://www.bleepingcomputer.com/news/security/hackers-breach-gaming-giant-electronic-arts-steal-game-source-code/

認了！全球肉類供應大廠JBS付1100萬美元的贖金給REvil！

Posted on 2021 年 6 月 10 日2021 年 6 月 10 日 by blogadmin

全球最大肉類加工巨頭JBS的美國分公司在6月9日一份聲明中，承認支付了支付價值 1100 萬美元(約新台幣3億800萬元)的給駭客。JBS在5月30日遭勒索軟體攻擊，旗下所有美國肉類加工廠一度全線停產，影響整個美國市場約五分之一的肉類供應，除美國之外，澳洲及加拿大的肉類加工場也被迫關閉，6月2日美國聯邦調查局(FBI)將這次攻擊歸咎於 REvil勒索軟體，隔天JBS迅速恢復系統重新上線。

今JBS 美國公司執行長 Andre Nogueira 表示，公司是在大部分工廠恢復運作之後，支付贖金給駭客的，Nogueira說：“對我們公司和我個人而言，這是一個非常艱難的決定。“但是我們認為必須做出這一決定，以防止我們的客戶面臨任何潛在風險。” 該公司表示，支付贖金是為了“減輕與攻擊相關的任何不可預見的問題，並確保沒有數據被洩露”。

JBS 並不是最近第一家向俄羅斯網路犯罪分子支付贖金的企業，上個月Colonial Pipeline 也遭到DarkSide勒索軟體攻擊，並承認向 DarkSide 的背後駭客支付了 440 萬美元的比特幣，6月7日美國司法部宣布成功追回Colonial Pipeline被勒索的多半贖金。

聯邦調查局敦促被駭客攻擊的公司和組織避免支付贖金，指出付贖金不能保證會結束網路攻擊，並表示被駭客勒贖的公司應向治安單位求助。

有關REvil勒索軟體的情資:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

美國司法部將勒索軟體調查的優先級提高到等同於恐怖主義(Terrorism)，另白宮發公開信敦促美企嚴謹應對勒索軟體的風險

Posted on 2021 年 6 月 4 日2021 年 6 月 4 日 by blogadmin

美國6月3日上午消息，美國司法部官員稱，在輸油管道公司 Colonial Pipeline遭遇駭攻，以及網路犯罪造成的損害不斷增加之後，美國司法部正在提升對勒索攻擊的調查等級，提升至與恐怖主義案件類似的優先級別。根據一份在周四發給全美各地檢察官辦公室的內部指南，稱勒索調查應與華盛頓最近成立的特別專案小組集中協調。

上個月，操作DarkSide勒索軟體的駭客組織攻擊美國東岸輸油管道，導致系統癱瘓，駭客要求Colonial Pipeline支付約500萬美元以換取解密工具。司法部在指南中表示，勒索軟體和數位勒索對國家構成的威脅日益增加，為了應對危機，美國認為應該加強追蹤能力。

另據NBC報導，拜登政府正在採取行動，將勒索軟體攻擊視為“國家安全威脅”，利用情報機構監視外國罪犯，並考慮對俄羅斯境內的駭客進行攻擊性網路行動。

司法部決定對勒索軟體予以打擊，此舉說明它的優先順序已經提升；以前美國司法部只是用這種方式對付恐怖主義，不包括勒索軟體。在操作過程中，未來美國檢察官辦公室在處理勒索軟體相關案件時，可能會與華盛頓分享案件詳細資訊和技術資訊。

另外，美國白宮向企業發公開信，促請企業緊急行動應對勒索軟體威脅。信件由美國國家安全委員會首席網路安全顧問Anne Neuberger發出，信中促請企業認真對待勒索軟體罪行，確保企業數位防禦可應對威脅。信件亦表示，視勒索軟體為核心業務營運威脅多於視之為數據盜竊風險的企業，在回應及恢復時會更具效率。白宮表示在應對勒索軟體攻擊問題上，美國政府正在與世界各國合作，追究勒索軟體參與者和窩藏他們的國家的責任，敦促各公司加大力度處理勒索軟體攻擊的威脅。

Neuberger還強調了幫助防禦勒索軟體攻擊的最佳實踐：

*實施拜登總統行政命令中的五個最佳實踐

*備份您的數據、系統images和配置，定期對其進行測試，並使備份保持離線狀態

*及時更新和修補系統

*測試您的事件回應計劃

*使用第三方滲透測試檢查您的安全團隊的工作

*細分您的網路

在過去 30 天內發生了幾起勒索軟體事件(Colonial Pipeline關閉了美國最大的管道，全球最大的肉類加工商 JBS 也被迫停產等)影響了美國關鍵企業之後，白宮發布了這封信，所有這些攻擊，據信都是由俄羅斯的網絡路犯罪組織精心策劃的。

日本富士軟片 (FUJIFILM )為對抗潛在的勒索軟體攻擊，關閉系統，斷開與外部連線

Posted on 2021 年 6 月 3 日2021 年 6 月 3 日 by blogadmin

Key Points:

*這家日本公司週三表示，它在 6 月 1 日晚上發現到遭勒索軟體攻擊的可能性，並採取措施暫停所有受影響的系統。

*富士軟片控股公司 (FUJIFILM)正在調查從公司外部的非法第三方存取其伺服器的資安事件

*FUJIFILM表示正在努力確認未經授權存取的規模

根據東京路透社6 月3日報導——FUJIFILM在6 月2日宣布，由於1日午夜發現到勒索軟體攻擊的可能性，確認其使用的伺服器涉嫌被外部非法存取，正在調查資料是否外洩。FUJIFILM為了防止損害擴大，關閉網路並與外部通信斷開連接，目前無法通過電話或電子郵件回覆客戶，系統恢復時間也未定。

FUJIFILM這家跨國公司最出名的是照相機和底片製造商——最近也生產高科技醫療設備，包括用於快速處理 Covid-19 測試的設備。

根據新西蘭先驅報，FUJIFILM當地合夥人收到的電郵上說，“FUJIFILM將關閉網路和伺服器環境，因此將無法接收和履行訂單，我們意識到這對業務產生了重大影響，但目前尚不清楚這種情況會持續多久。”

雖然 FUJIFILM 沒有說明遭到哪個勒索軟體組織的攻擊，但資安公司Advanced Intel的CEO Vitali Kremez 告訴 BleepingComputer，他們追踪到FUJIFILM 在上個月(似乎5 月 15 日)感染了Qbot 惡意軟體，QBot是一種木馬，用於資料竊或潛入網路，並被REvil 勒索軟體的幕後駭客廣泛利用。

FUJIFILM全球員工超過 37,000 名，在2020 年的收入超過 200 億美元，無疑是網路犯罪分子有利可圖的目標。

美國稱對肉類供應巨頭 JBS 的勒索軟體攻擊可能來自俄羅斯，白宮就此事直接與俄羅斯政府聯繫

Posted on 2021 年 6 月 2 日2021 年 6 月 3 日 by blogadmin

白宮週二(6/1)表示，JBS總公司告訴美國政府，對在其北美和澳洲的肉類生產造成癱瘓的勒索軟體攻擊源於一個可能設在俄羅斯的犯罪組織。雖然 JBS在(5/31)已發布了一份官方聲明，稱其北美和澳洲的部分 IT系統在周日(5/30)受到網路攻擊的影響，但並未將其稱為勒索軟體攻擊，然而今天白宮首席副新聞秘書 Karine Jean-Pierre 告訴記者，證實JBS收到了可能來自俄羅斯的攻擊者的勒索信。

“肉類生產商 JBS 週日通知我們，他們是勒索軟體攻擊的受害者。白宮已向 JBS 提供援助，我們的團隊和農業部與他們的領導層進行了多次交談。白宮正在就此事直接與俄羅斯政府接觸，並傳達出負責任的國家不窩藏勒索軟體罪犯的訊息。聯邦調查局正在調查這一事件，CISA 正在與聯邦調查局協調，為該公司提供技術支援，以從勒索軟體攻擊中恢復。”Jean-Pierre說。

IT 系統在現代肉類加工廠中必不可少，電腦用於多個階段，包含計費，生產線和運輸等。據貿易組織Beef Central 稱，“超市和其他大型終端用戶，如麥當勞的漢堡肉餅供應，將成為受影響最直接的客戶，因為他們需要持續供應”。據彭博社報導，JBS 的五家最大的牛肉工廠都在美國，停產已經使那裡五分之一的肉類生產停止。同時澳洲和加拿大的工廠也受到影響，但該公司的南美業務並未中斷。

關於JBS:

*JBS 是全球最大的肉類供應商，在 15個國家/地區擁有 150 多家工廠

*它由牧場主 José Batista Sobrinho 於 1953 年在巴西成立，當時是一家屠宰企業

*公司目前在全球擁有超過 150,000 名員工

*其客戶包括大型超市和快餐店麥當勞等

*在美國，JBS加工該國近四分之一的牛肉和五分之一的豬肉

1名白宮官員透露，美國農業部、國土安全部和其他機構正在密切關注肉品和家禽類的供應。這名官員提到，這些部門也與農產品加工商合作，確保商品流通，且不會因網路攻擊事件而發生價格操縱的問題。另共和黨聯邦參議員John Thune表示:「這類網路攻擊突顯了國家食物供應鏈的安全性是相當脆弱，美國需要讓肉類加工產業分散，避免過度集中在少數公司。」

根據網路安全公司Recorded Future的高級安全架構師Allan Liska表示，自2020年5月以來，公開報導的食品公司勒索軟體攻擊事件已有40多起。

上個月，在針對 Colonial Pipeline遭勒索軟體攻擊後，美國東南部的燃料輸送中斷了六天，造成汽油短缺，為了恢復系統Colonial Pipeline向DarkSide勒索軟體的背後駭客支付了 440 萬美元的贖金。

*****6月3日更新*****

美國聯邦調查局(FBI)週三(6/2)證實，臭名昭著的REvil（也稱為 Sodinokibi）是全球最大肉類供應商JBS遭勒索軟體攻擊的幕後黑手。

有關REvil勒索軟體的情資:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/600ee787c56de0374e0aafc0

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

日本富士通(Fujitsu)的ProjectWEB平台經非法第三方存取，造成政府機構的數據外洩，包含日本外交部，交通部，內閣網路安全中心，和成田機場等現已經暫停使用該平台。

Posted on 2021 年 5 月 27 日2021 年 5 月 27 日 by blogadmin

5月24日，據日本政府進行調查的內閣網路安全中心（National center of Incident readiness and Strategy for Cybersecurity，NISC）稱，富士通的ProjectWEB平台發現了入侵事件，NISC向政府和重要基礎建設機構發出警告，富士通在NISC調查人員介入後，於5月25日關閉了ProjectWEB平台，以調查漏洞的範圍和原因。

日本富士通的ProjectWEB，是一個軟體即服務（SaaS）平台，可透過ProjectWEB共享專案相關資料，Photo Credit: 日本富士通

迄今為止，已被公佈受影響的機構包括國土交通省，外交部，內閣網路安全中心和成田機場等。竊取的數據包括政府僱員存儲在ProjectWEB上的檔案，ProjectWEB是富士通在2000年中期推出的基於雲的企業協作和檔案共享平台，如今已被日本政府機構廣泛使用。

富士通ProjectWEB事件相關時間:

2021年5月6日富士通發現非法第三方存取Project WEB的踪跡。

2021年5月14日富士通報告非法第三方存取交通部系統，造成數據外洩。

2021年5月17日富士通報告由於非法第三方存取成田國際機場系統而導致數據外洩。

2021年5月20日成田國際機場宣布航班資料管理系統的資料外洩。

2021年5月24日 NISC宣布也是受害單位，並向政府和重要的基礎設施機構發出警告。

2021年5月25日富士通暫停Project WEB系統的運作。

2021年5月25日富士通宣布非法第三方存取ProjectWEB。

2021年5月26日富士通報告非法第三方存取外交部系統，造成數據外洩。

使用ProjectWEB的成田機場20日表示，對飛機的飛航管理相關資料遭竊；國土交通省昨天公布，至少有7萬6000名轄下公務員與業務相關人士的電子郵件帳號、電子郵件系統與網路設定等資訊外流。另外，外交部也說，有提供給富士通的資料外流。

目前尚不清楚非法第三方(攻擊者)的身份以及是否是由於利用漏洞或針對性的供應鏈攻擊而發生入侵事件，另日本富士通表示，會認真面對此事，與相關單位商討後續處理方式，全力支援受害的客戶。

Sources:

https://www.documentcloud.org/documents/20791612-japanese-cabinet-cyber-security-center-warning-about-projectweb-leaks-part-1

https://www.documentcloud.org/documents/20791611-japanese-cabinet-cyber-security-center-warning-about-projectweb-leaks-part-2

https://www3.nhk.or.jp/nhkworld/en/news/20210526_28/