⚠️⚠️⚠️勒索軟體入侵傳教仕組織,並罕見地後製惡搞圖,REvil聲稱成功加密了美國知名電視傳教仕肯尼斯.寇普蘭(Kenneth Copeland) 的宣教機構並威脅說如果拒絕支付贖金,將釋放1.2 TB的“敏感”數據

REvil勒索軟體的駭客組織駭進美國知名牧師Kenneth Copeland的傳教組織,聲稱他們竊取了1.2 TB數據,並後製惡搞圖宣傳,如下圖: 

美國知名牧師肯尼斯.寇普蘭(Kenneth Copeland)靠在電視上傳道,累積7.6億美元身價,還用信徒的捐款買了3架私人飛機,涉嫌斂財令人瞠目結舌。

這週三REvil在其揭秘網站上發表聲明說,肯尼斯.寇普蘭(Kenneth Copeland) 為其最新受害者,該機構的所有伺服器和電腦都被其加密,REvil發布的聲明中,顯示了被盜的數據,聲稱該數據包括財務檔案,合同,銀行檔案,銷售歷史和電子郵件等等。

REvil自2019年4月以來一直活躍,其駭客組織聲稱通過勒索軟體即服務(RaaS)每年可獲得超過1億美元的收入。

有關REvil勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

*****竣盟科技快報歡迎轉載,但請註明出處

中國APT駭客組織FunnyDream針對東南亞政府機構,已感染超過200多個系統!

在過去的兩年,一個新的中國國家級駭客組織(APT)已經在東南亞感染了200多個系統。

根據資安公司Bitdefender今天發布一份最新的報告,惡意軟體感染是一個名為FunnyDream的組織展開的廣泛網路間諜活動的一部分,攻擊主要針對東南亞國家的政府實體。雖然Bitdefender尚未列出任何受害國家,但據Kaspersky今年春季時發布的一份報告稱,FunnyDream至少自2018年以來一直活躍,並瞄準了馬來西亞,泰國,台灣和菲律賓等亞洲國家的一些政黨,然而大多數受害者都在越南,該組織主要針對政府組織。

Bitdefender和Kaspersky都表示,該組織直到今天仍然活躍,並且主要展開網路間諜活動,主要是以監視受害者的活動並從受感染主機上竊取敏感文件,特別是國家安全和工業間諜活動。

據研究人員稱,不僅有大約200台機器都顯示與攻擊活動有關的攻擊指標,而且有證據表明,威脅行動者可能入侵了受害者網路上的網域控制站,從而使它們可以橫向移動並控制其他系統。

惡意軟體相關示意圖

研究人員也稱,多數攻擊都遵循一種模式,但同時結合了三種惡意軟體的payload -包含Chinoxy,PCShare和FunnyDream(FunnyDream惡意軟體隨後被命名為該組織名稱)。

三種惡意軟體中的每一種都具有精確的作用。Chinoxy被部署為最初使用的惡意軟體,充當切入點存取的簡單後門。

PCShare是一個已知的中文開源遠端木馬,它通過Chinoxy進行了部署,並用於探索受感染的主機。

FunnyDream是在PCShare的幫助下部署的,它是三者中功能最強大且功能最豐富的,具有更高級的持久性和通信功能,並用於數據收集和滲透。

 惡意軟體的時間軸

            

研究人員也還發現了從2019年5月出現使用上述FunnyDream後門的功能,該後門具有收集用戶數據,清除惡意軟體部署痕跡,阻止檢測和執行惡意命令的多種功能,其結果最後被傳輸回位於香港,中國大陸,韓國和越南的C&C伺服器。

有關FunnyDream的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fb55924659ab82b7e2571a3

https://otx.alienvault.com/pulse/5fb446087749d98182f7a340

Source:

https://www.bitdefender.com/files/News/CaseStudies/study/379/Bitdefender-Whitepaper-Chinese-APT.pdf

*****竣盟科技快報歡迎轉載,但請註明出處

智利零售業巨頭Cencosud遭Egregor勒索軟體加密,商店營業受影響,也同時導致店內印表機不斷印出Egregor的勒索信

於上週末,Egregor勒索軟體的背後駭客為了讓受害者(Cencosud)知道它們的系統已被其駭並加密,駭客從遠端控制Cencosud在智利和阿根廷的許多零售商店的設備(例如Easy home goods商店)並印出大量的勒索信。如下列影片:

印出的勒索信上有EGREGOR字樣,如下圖紅框處

據當地媒體和Bleeping Computer稱,操作Egregor勒索軟體的駭客將勒索信自動連接在加密設備上的印表機並不斷印出,這可導致受害組織印出巨量的勒索信。

另外,由於Cencosud有發行Cencosud卡,這意味著駭客可以利用所竊取的數據進行購買,從而從客戶那裡竊取金錢,Cencosud呼籲由於技術問題他們暫不接受使用“ Cencosud卡”,不接受退貨或允許進行網上購物。

Cencosud是拉丁美洲最大的零售公司之一,擁有超過140,000名員工,2019年的收入為150億美元。Cencosud在阿根廷,巴西,智利,哥倫比亞和秘魯經營著各種各樣的商店,包括Easy home goods,Jumbo超級市場,以及巴黎百貨商店等等。

有關Egregor勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fa1b75f7136524dbbb229a6

*****竣盟科技快報歡迎轉載,但請註明出處

新型模組化ModPipe後門針對Oracle銷售點系統,攻擊者可利用該後門訪問和存儲在酒店、餐營業系統中的敏感數據!

#情資才是王道

ESET的資安研究員發現了一種新型針對銷售點(POS)的惡意軟體,他們將其稱為ModPipe。 ModPipe能影響Oracle的MICROS RES 3700 POS系統,該系統已被全球成千上萬的酒吧,餐廳和酒店業使用。

Oracle將RES 3700描述為“當今業界安裝最廣泛使用的餐營管理軟體”。該軟體套件用於管理PoS,會員計劃,報告,庫存,促銷和行動支付。

ModPipe後門以其模組化結構而著稱,可實現進階功能。由專家分析的模組之一,名為GetMicInfo,使用了一種演算法可允許操作員通過從Windows註冊表中解密密碼來收集數據庫密碼。

“讓該後門程式與眾不同的是它的可下載模組及其功能,它包含一種自定義演算法,該演算法旨在通過從Windows註冊表值中解密來收集RES 3700 POS數據庫密碼。”ESET的分析:“這表明後門的作者對目標軟體有深入的了解,並選擇了這種複雜的方法,而不是通過諸如鍵盤記錄之類的更簡單的方法來收集數據。”

ModPipe過濾的憑證允許操作員訪問數據庫內容,包括各種定義和配置,狀態表以及有關POS交易的資料。

儘管財務數據(例如信用卡號和有效期)受到RES 3700 POS系統中實施的加密的保護,但威脅執行者可以使用另一個可下載的模組來解密數據庫的內容。

ModPipe後門的架構

ModPipe的模組化體系結構由基本組件和可下載模組組成:

  • Initial dropper 其中包含下一階段持久性加載程式的二進位檔(32位和64位),並將適當的版本安裝到受感染的電腦上。
  • Persistent loader,可解壓縮並加載主模組的下一個階段。
  • Main module是執行惡意軟體主要功能的核心組件。它能建立與其他惡意模組進行連線的管道,卸載或安裝這些模組,並充當處理模組與攻擊者的C&C伺服器之間的連線調度。
  • Networking module 用於與C&C連線。
  • Downloadable modules是旨在向後門添加特定功能的組件,例如能夠竊取數據庫密碼和配置資料,掃描特定IP地址或獲取正在運行的進程及其加載的模組的列表功能。

ESET也詳細介紹的其他模組包含“ ModScan 2.20”,用於收集有關已安裝的POS系統的其他數據(例如版本,數據庫伺服器數據),以及“ Proclist”,用於收集有關當前正在運行的進程的詳細資料。

研究人員總結說:“ ModPipe的體系結構,模組及其功能也表明其編寫者對目標RES 3700 POS軟體具有廣泛的了解。” “編寫者的熟練程度可能來自多種情況,包括竊取專有軟體產品並對其進行反向工程,濫用其洩漏的零件或從暗網市場購買程式碼。

有關ModPipe後門的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fad7ec43bd4572731eec59d

Source: https://www.welivesecurity.com/2020/11/12/hungry-data-modpipe-backdoor-hits-pos-software-hospitality-sector/

*****竣盟科技快報歡迎轉載,但請註明出處

勒索軟體Ragnar Locker的背後駭客利用被駭FB的帳戶在Facebook打廣告,公開宣傳受害公司被駭之資安事件

日本知名電玩開發商卡普空和意大利酒商Campari Group相繼遭Ragnar Locker勒索軟體攻陷後,資安專家Brian Krebs發現Ragnar Locker在11月9日晚上,為了迫使受害者付贖金,發起了旨在羞辱意大利酒商Campari Group的Facebook廣告活動,如下圖:

節目主持人Chris Hodson綁定的帳戶Hodson Event Entertainment被駭,投放宣傳Ragnar Locker攻陷Campari Group的資安事件
放大的廣告內容

Ragnar Locker犯罪組織在Facebook廣告活動說:“這看起來太荒謬像個大謊言,但我們確實竊取了機密數據,並且是大量的數據。” 廣告上說,Ragnar Locker團隊已盜了Campari Group的2 TB數據,並建議在美國東部時間今天(11月10日)下午6點前與其聯繫商討,以避免被公開數據。

資安專家Brian Krebs說,Facebook的廣告是由Hodson Event Entertainment支付的,Hodson Event Entertainment是由芝加哥的節目主持人Chris Hodson綁定的帳戶,Brian Krebs與Chris Hodson聯繫後,Hodson表示他的FB帳戶確實被駭,而這個未經授權的廣告活動吸引了大約7,150名Facebook用戶,產生了770次點擊,每次點擊成本為21美分。

Hodson說:“我以為我對所有帳戶都啟用了雙重驗證,但現在看來我唯一沒有設置的就是Facebook。

目前尚不清楚這是否是一個單一事件,或Ragnar Locker是否還利用不同的被駭Fb帳戶投放了廣告。Fb的發言人表示,該公司正在繼續調查此事件。

無庸置疑的是操作勒索軟體的駭客最近特別激進地向受害者施壓,要求他們付款。

Ragnar Locker勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5ee0fecd7663ca5837037ea0

Campari Group在星期一正式承認遭勒索軟體攻擊:https://ftaonline.com/news/campari-group-lattacco-malware-ha-causato-la-crittografia-di-alcuni-dati-su-alcuni-server

#情資才是王道

*****竣盟科技快報歡迎轉載,但請註明出處

在大規模攻擊巴西法院系統後,受到極大關注的勒索軟體RansomExx,現又藉加密Linux系統來擴大業務版圖!

這張圖片的 alt 屬性值為空,它的檔案名稱為 ransomEXX-1024x665.png

資安研究員發現首次一種規模比較大的 Windows 勒索軟體被移植到 Linux 系統,以進行有針對性的入侵,卡巴斯基的研究人員分析了Linux版本的RansomExx勒索軟體,RansomExx也被稱為Defray777,是一種相對較新的勒索軟體,於今年6月初首次被發現,同時也是一種人為操作勒索軟體(Human-operated ransomware),這意味著攻擊者在獲得對目標網路的訪問權限後便得手動感染系統。

RansomExx於2020年6月對德州運輸部的發動了攻擊; 8月攻擊了柯尼卡美能達(Konica Minolta);9月對美國政府承包商泰勒技術公司(Tyler Technologies) 發動了攻擊;以及最近對巴西法院系統(STJ)的攻擊

最近發現當針對Linux伺服器時,RansomExx會部署一個名為“ svc-new”的ELF可執行檔,用於加密受害者的伺服器。

根據卡巴斯基:經過初步分析,我們注意到Trojan木馬的程式碼,勒索信件的文字和勒索方法的相似之處,這表明我們已經遇到了以前已知的勒索軟體家族RansomEXX的Linux版本。研究員說在啟動後該木馬會生成一個256位密鑰,並使用它來加密屬於受害者的所有檔案,這些檔案可以使用ECB模式下的AES分組密碼來訪問。AES密鑰通過嵌入特洛伊木馬程式中的公共RSA-4096密鑰進行加密,並附加到每個加密檔案中。

但專家指出,RansomEXX缺乏Trojan木馬的其他功能,如C2通信,反分析功能以及殺死進程的功能,也與Windows版本不同,Linux版本不會擦除可用空間。

專家注意到,當受害者支付贖金時,他們將同時獲得Linux和Windows解密工具,以及相應的RSA-4096私鑰和嵌入在執行檔中的加密文件副檔名。

最近Linux版本的IOC:

aa1ddf0c8312349be614ff43e80a262f

早期Windows版本的IOC:

fcd21c6fca3b9378961aa1865bee7ecb

RansomExx勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fa577b4aa9de26c3b347142

Source: https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/?es_p=12938065

*****竣盟科技快報歡迎轉載,但請註明出處

遊戲大廠卡普空(Capcom)遭Ranger Locker加密,被盜1TB 數據! 其熱賣遊戲包含快打旋風、惡靈古堡、洛克人、魔物獵人系列等經典又賣座!

日本遊戲開發商遭受了勒索軟體攻擊,Ragnar Locker勒索軟體的背後操作駭客稱他們是從在卡普空美國,日本和加拿大的公司網路中竊取了1TB敏感數據。

Photo credit to BleepingComputer

昨天,Capcom宣布他們在2020年11月2日遭受了網路攻擊,導致其部分公司網路暫停以防止攻擊蔓延。據了解,昨天卡普空並未透露網路攻擊的詳細資訊,今在資安研究員pancak3lullz發現了勒索軟體樣本,證實操作Ragnar Locker的駭客對卡普空進行了攻擊。BleepingComputer也取得了Ragnar Locker對卡普空勒索的信件。如下圖:

勒索信中包含七個print.sc 的URL,顯示被盜檔案的截圖,包括員工離職協議,日本護照,八月份的Steam銷售報告,銀行對賬單,承包商協議以及AA用戶和卡普空Windows網域的電腦MMC的截圖。下圖為被盜的卡普空2020年8月Steam銷售報告:

勒索信也包含Ragnar Locker Tor談判站點的連結,卡普空可以在該站點與攻擊者討論贖金。目前卡普空尚未使用聊天頁面,另資安研究員pancak3lullz對BleepingComputer表示,Ragnar Locker聲稱已經在Capcom的網路上加密了2,000台設備,並要求提供1100萬美元的比特幣作為交換解密工具。贖金還包括承諾刪除所有被盜數據以及提供網路滲透安全報告。

Ragnar Locker今年4月攻擊了包括對葡萄牙跨國能源巨頭Energias de Portugal,要求1090萬美元的贖金。9月,他們攻擊了了法國海上運輸和物流公司CMA CGM,導致網路和運營大量停工。另今也傳出意大利飲料供應商Campari受到Ragnar Locker攻擊,並已關閉了很大一部分IT網路。

Ragnar Locker勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5ee0fecd7663ca5837037ea0

#情資才是王道

*****竣盟科技快報歡迎轉載,但請註明出處

全球知名遊戲公司卡普空Capcom遭受網路攻擊,造成業務受影響

日本卡普空株式會社(株式会社カプコン)是一家全球知名的電子遊戲開發商與發行商,其多款經典遊戲如魔物獵人系列、快打旋風、惡靈古堡、洛克人等賣座又叫好。

卡普空在其官方網站發布了《關於由於未經授權的訪問導致系統故障的通知》指出自2020年11月2日凌晨起,我們的某些系統出現問題,導致難以訪問郵件系統和檔案伺服器。在確定這是一次網路攻擊之後,他們停止了部分公司網路以防止攻擊蔓延。該公司已確認這是由於第三方未經授權的訪問,並且自11月2日起已停止內部網路的某些營運。

自攻擊以來,卡普空一直在其網站上顯示通知,警告用戶由於攻擊會影響電子郵件系統,因此電子郵件和檔案的request將無法正常運作。但同時表示這次攻擊並未“對玩我們遊戲或訪問我們的網站的互聯網連接造成影響"

卡普空進一步表示,目前沒有跡象表明有任何客戶數據被盜。另外,如果這次網路攻擊是一種勒索軟體攻擊,那麼在部署勒索軟體之前,很有可能他們公司的數據已經被盜。

自2019年以來,勒索軟體的駭客組織一直在利用雙重勒索策略在加密設備之前竊取未加密的數據。威脅受害公司如果不支付贖金,就會在暗網公開發布這些被盜數據。

儘管Capcom並未表示這是勒索軟體攻擊,但根據消息人士告訴BleepingComputer,卡普空在8月遭受了TrickBot的感染,有可能是Ryuk或Conti勒索軟體的攻擊。另外,REvil勒索軟體的背後操作駭客, 曾於最近表示他們入侵了大型遊戲公司,並將很快宣布,目前尚不清楚這是否與卡普空的網路攻擊有關。

*****竣盟科技快報歡迎轉載,但請註明出處

瑞典議會的機密資料在Mount Locker勒索軟體入侵了 Gunnebo後被外洩,成為瑞典頭條新聞,引起社會輿論關注

瑞典安全公司Gunnebo週二表示,在兩個月前遭到駭客入侵後,現駭客發布了有關其公司的敏感數據,據瑞典外媒報導,約19 GB的大量數據已在暗網流出並可下載有關檔案。檔案包含瑞典議會的安全措施的有關資料,Gunnebo財務數據,銀行詳細資料和密碼以及客戶交易的詳細資料,有關政府警報系統安裝的藍圖和詳細的安全資料,辦公室和機場入口控制系統等等的敏感資料,大約有38,000個檔案。

當中最具爭議的外洩檔案為包括瑞典議會資安安排的細節以及瑞典稅務局在斯德哥爾摩郊區新辦公室的機密計劃。報導稱,至少有兩家德國銀行的銀行保險庫計劃被洩露,而其他檔案則顯示了瑞典SEB銀行分行的警報系統和監控攝像頭也被外洩。另資安外媒Hackread看過了這些數據,確認可以通過MEGA下載連結並正在不同的駭客論壇上分發。

Mount Locker勒索軟體竊取的數據列表

Gunnebo成立於1889年,是一家瑞典的跨國公司,為全球各類客戶提供物理安全,包括銀行,政府機關,機場,娛樂場所,珠寶店,稅務機關甚至是核電廠。該公司在25個國家/地區開展業務,擁有4,000多名員工,每年的收入達數十億美元。

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載,但請註明出處

資料來源: https://www.dn.se/ekonomi/enorm-sakerhetslacka-hemliga-uppgifter-om-riksdagen-och-banker-ute-pa-natet/