Ransomware - 竣盟科技

美國半導體巨擘 Microchip 因網路攻擊而造成營運中斷

Posted on 2024 年 8 月 23 日 by blogadmin

美國晶片製造商 Microchip Technology 遭遇網路攻擊，嚴重影響其生產能力

美國晶片製造商 Microchip Technology (微晶片科技) 日前遭遇到網路攻擊，導致旗下多家製造工廠的營運中斷。 2024 年 8 月 17 日，他們發現到針對公司 IT 基礎設施而進行的潛在可疑活動。

Microchip Technology Incorporated 是一家美國上市公司，產品包括微型控制器、混合訊號、類比和 Flash-IP 積體電路等。其公司總部位於亞利桑那州錢德勒，在多個產業領域共計有約 123,000 個客戶，其中包括工業、汽車業、消費性產業、航太和國防工業、通訊和電算機市場。

其晶圓廠位於亞利桑那州坦佩(Tempe)、俄勒岡州格雷舍姆(Gresham)和科羅拉多州科羅拉多泉(Colorado Springs)。該公司的組裝/測試工廠位於泰國北柳、菲律賓卡蘭巴和卡布堯。 2024財務年度銷售額為76億美元。

這次攻擊嚴重影響了Microchip的產能，他們關閉或隔離了部分系統以防範事件擴大。 Microchip Technology 尋求外部資安專家的協助，針對場域的安全漏洞展開了事件調查。公司方面證實，這次攻擊事件影響頗鉅，甚至可能影響到公司訂單的履行。

當Microchip Technology（微晶片科技公司）偵測到在其IT系統的潛在可疑活動後，於第一時間公司立即採取評估措施，想方設法遏止潛在的未授權活動，以期能及時補救。

2024 年 8 月 19 日，公司確認遭到未經授權的威脅者侵入，影響到公司某些伺服器的正常使用和部分的業務運作。公司立即採取了額外措施來應對這次事件，其中包括隔離受影響的系統、關閉某些系統，以及藉由外部資安顧問的協助來展開調查。

該公司向美國證券交易委員會 (SEC) 提交的FORM 8-K 報告中提到：「肇因於該事件，公司 (Microchip Technology) 某些生產設施的運作狀況低於正常水平，公司目前履行訂單的能力受到影響。」

目前Microchip Technology正在外部資安專家的協助下評估這次網路攻擊的程度和影響。同時公司也在努力修復受影響的IT系統，並嘗試盡快讓日常的業務運作回歸正軌。

該公司於聲明中補充到：「事件的調查仍在進行中，有關此次事件的涵蓋範圍、攻擊類型和影響層面等目前尚不明朗。」「截至此聲明發佈之日，公司尚未確定這次事件是否可能對公司的財務狀況或營運業務造成重大影響。」

雖然該公司尚未揭露這起事件的屬性及類型等細節資訊，但美國證券交易委員會的文件間接表明這次事件是歸因於勒索軟體攻擊。然而，目前尚未有勒索軟體組織聲稱對這起攻擊事件負責。

竣盟科技建議，半導體產業製造商及其他企業客戶，採取多重防護措施及最佳解決方案，可以有效幫助降低遭受勒索軟體攻擊的風險：

定期更新軟體：定期更新應用程式可確保修補任何已知漏洞，從而更好地防止潛在的漏洞。
對未經請求的訊息持懷疑態度：使用者應警惕未經請求的訊息，尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
驗證真實性：如果訊息聲稱來自 Authy 或 Twilio 等合法服務，使用者應在採取任何操作之前透過官方管道驗證其真實性。
啟用額外的安全措施：在可能的情況下，啟用額外的安全功能（例如生物辨識身分驗證或基於硬體的雙重認證）可以提供額外的保護層。
熟悉勒索軟體攻擊手段：了解常見的勒索軟體攻擊手法以及如何辨識它們並做出因應，可以顯著降低受到侵害的風險。

Toyota豐田汽車及CannonDesign被駭資料遭到外洩

Posted on 2024 年 8 月 21 日2024 年 8 月 21 日 by blogadmin

Toyota豐田汽車遭到勒索軟體集團駭入，共計240GB資料外洩

日前Toyota豐田汽車證實，他們的客戶資料遭到洩露。一名網路攻擊者在駭客論壇上洩露了他們從豐田的IT系統中竊取的 240GB 檔案資料。

針對這起事件，豐田回應道：「我們已經了解事件狀況。此次事件的範圍是局部性的，並沒有擴及整個IT系統。」

豐田補充說，「他們正在聯繫受到影響的客戶及人員，並在需要時提供協助。」目前尚未提供有關何時發現被入侵、攻擊者如何獲得存取權限以及有多少人的資料被暴露等資訊。

攻擊參與者 ZeroSevenGroup 聲稱已入侵豐田美國分公司，並竊取了 240GB 的檔案資料，內容涵蓋包括聯絡人、財務、客戶資料、計畫方案、員工資料、照片、資料庫、網路基礎設施、電子郵件和大量其他資料。

他們聲稱已經使用開源 ADRecon 工具收集了網路基礎設施資訊，包含憑證，這類工具可以幫助於從 Active Directory 環境中提取大量資訊。

豐田並未透露資料遭洩的確切日期，根據報導發現這些檔案被竊最早可以追溯到 2022 年 12 月 25 日。在這個時間點，攻擊者侵入備分伺服器，進而取得儲存於此的資料。

2023 年 12 月，豐田金融服務公司 (Toyota Financial Services) 通知客戶，公司遭遇了資料外事件，敏感性的個人資料及財務資料因勒索軟體攻擊而洩露，這起攻擊事件的影響範圍波及豐田的歐洲和非洲分公司。

2023 年 11 月 17 日，Medusa 勒索軟體集團聲稱參與了這起攻擊，並且威脅豐田如果不支付贖金，就會洩露被駭的資料。

CannonDesign資料外洩

Cannon Corporation (佳能集團) 旗下CannonDesign 正向 13,000 多名客戶發送資料外洩通知，告知客戶在 2023 年初的一次攻擊事件中駭客入侵了公司網路並竊取資料。

CannonDesign 是一家總部位於美國紐約州，屢獲殊榮的建築、工程和顧問公司，在學術性建築、醫院和體育場館等項目上的卓越表現而受到業界認可。

CannonDesign 開始向受影響的個人發送通知信，信中通報了 2023 年 1 月 19 日至 25 日這段期間發生的資安事件，該事件涉及未經授權的網路存取和資料外洩。

根據調查顯示，這場攻擊背後的執行者可能取得了姓名、地址、社會安全號碼 (SSNs) 和駕照號碼等資訊。

2023 年 2 月 2 日，Avos Locker 勒索軟體集團宣稱他們入侵了 CannonDesign 的系統，並且持有 5.7 TB 的被駭資料，其中包括公司和客戶相關檔案資料。

在勒索軟體集團索要贖金的計畫可能失敗後，他們將盜取資料轉到 Dunghill Leaks網站，該網站於 2023 年 9 月 26 日公佈了從 CannonDesign 竊取的 2TB 資料。這些資料包括資料庫轉儲 (database dumps)、專案圖表、聘僱文件、客戶詳細資訊、行銷資料、IT和基礎設施詳細資訊以及品質保證報告等。

Dunghill Leaks是 Dark Angels勒索軟體組織於 2023 年 4 月推出的資料外洩網站，用於迫使受害者支付勒索軟體集團要求的贖金。

攻擊豐田的勒索軟體Medusa的部分的入侵指標（IOCs）:

a57f84e3848ab36fd59c94d32284a41e

e4b7fdabef67a0550877e6439beb093d

042ce9ab1afe035e0924753f076fcb20de0d1a1d

0823d067541de16325e5454a91b57262365a0705

4d5992de4601c4306885c71b0ba197184bb69221

78daa8b99d2fa422926465f36e13f31587b9e142

db5e29c0729486ba3833426093652451c5fca9b5

ee4575cf9818636781677d63236d3dc65652deab

3e19d1653c08206c55e1f835bd890b067b652b99a7b38bad4d78ad7490c6a0f8

4d4df87cf8d8551d836f67fbde4337863bac3ff6b5cb324675054ea023b12ab6

美國Kootenai Health醫院資料外洩事件影響超過 464,000名病患

Posted on 2024 年 8 月 16 日 by blogadmin

Kootenai Health醫院受到勒索軟體集團ThreeAM的攻擊

Photo Credit: GBHackers庫特內醫院（Kootenai Health）近日披露了一起資料外洩事件，超過464,088名病患的個資受到影響，這些資料是被名為ThreeAM（3AM）的勒索軟體集團所洩露。Kootenai Health 是一家位於愛達荷州科達倫 (Coeur d’Alene) 的醫療機構。它是一個區域醫療中心，提供全方位的醫療服務，包括緊急護理、外科手術、癌症醫療和專門治療。 Kootenai Health 以致力於綜合性醫療而聞名，並且提供住院病床和門診服務。

根據庫特內醫院提交給緬因州總檢察長辦公室的資料外洩通知信，2024年3月2日，公司發現部分IT系統出現異常，隨即展開調查，並尋求業界頂尖的資安專家協同合作。

調查顯示，2024年2月22日左右，網路攻擊者入侵了庫特內醫院的網路，竊取了病患的個人資訊，包括姓名、出生日期、社會安全號碼、駕照或政府發行的身份證號碼、病歷號碼、治療資訊以及診斷資訊、用藥資訊及健康保險資訊等。

庫特內醫院表示，目前尚不知道有任何遭竊資訊被盜用的情況。他們盡快通知受影響的病患，並附上受影響個人如何註冊 12 至 24 個月個資保護服務的說明，依據受害者遭到洩露的是哪種資料，會予以相應的個資保護服務。

庫特內醫院表示，發現異常活動後，立刻採取相應措施以確保數位環境的安全。經過全面性的查驗，確認受影響的資料後，於2024年8月1日，庫特內醫院對受影響資料的後續處置措施也告一段落。

應對這次的事件，庫特內醫院宣布實施額外的安全措施，並已通知當地執法單位，包括聯邦調查局（FBI）。另外庫特內醫院還透過IDX公司 (入侵回應服務廠商) 提供免費的信用監控和個資竊盜保護服務。

凌晨3點 勒索軟體集團洩露資料

3AM勒索軟體集團已聲明他們確實參與了這次攻擊，並在他們的暗網入口網頁上洩露了被駭資料，這也間接表明了受害方尚未支付贖金。

遭竊資料包含一個 22GB 的檔案，這個檔案免費提供使用，任何其他網路犯罪分子都可以任意下載該檔案資料並用於其他進一步的攻擊行動。

網路安全技術廠商賽門鐵克 (Symantec) 的威脅獵捕團隊表示，3AM勒索軟體系列是在2023年9月首次被發現。這個軟體是用Rust程式語言編寫，在開始加密程序之前，它會嘗試中斷多種服務，並在加密完成後試圖刪除磁碟區陰影副本（Volume Shadow copies）。

被加密的檔案其檔名末端會被添加“.threeamtime”，此外這個勒索軟體還支援多種指令來阻止應用程式進行備份及資訊安全軟體的運作。另一個特性是此軟體僅對符合預設條件的檔案進行加密。

資安培訓認證公司Intrinsec分析師於一月份的報告中談到，他們發現3AM和Conti，the Royal等勒索軟體集團之間有著顯著的關聯性，表明這三個集團之間應該存在某種結盟關係。

ThreeAM勒索軟體相關的部分的入侵指標（IOCs）:

079b99f6601f0f6258f4220438de4e175eb4853649c2d34ada72cce6b1702e22

307a1217aac33c4b7a9cd923162439c19483e952c2ceb15aa82a98b46ff8942e

680677e14e50f526cced739890ed02fc01da275f9db59482d96b96fbc092d2f4

991ee9548b55e5c815cc877af970542312cff79b3ba01a04a469b645c5d880af

ecbdb9cb442a2c712c6fb8aee0ae68758bc79fa064251bab53b62f9e7156febc

832a3c90b047e7c5dcfd373d238d16e33e238354d9b1af673003af22f4376e4c

邁凱倫 (McLaren) 醫院遭受 INC 勒索軟體攻擊而導致電腦、電話系統中斷

Posted on 2024 年 8 月 9 日2024 年 8 月 9 日 by blogadmin

McLaren Health Care攻擊事件影響到旗下 13 家醫院及門診手術中心

這個週二，位於密西根州的邁凱倫醫療 (McLaren Health Care) 遭受了一次嚴重的網路攻擊，這次攻擊事件已確認與 INC Ransom勒索軟體有關。根據報導，這場攻擊對McLaren醫療系統旗下的多家醫院構成了運營上的衝擊，使其醫療服務受到重大影響。

此次攻擊事件始於8月6日，McLaren Health Care發現其IT系統和電子病歷系統出現異常，隨後就發現遭受了勒索軟體攻擊。這款名為INC Ransom的勒索軟體以將重要檔案資料加密的方式來威脅受害者，要求支付贖金以換取解密密碼。由於大量醫療資料被加密，使得醫療人員無法正常存取病患資訊和進行日常的醫療運作。

報導指出，攻擊發生後，McLaren醫院不得不暫時改用人工方式處理病歷，這不僅大幅增加了工作負擔，也提高了醫療失誤的風險。急診室的運作也受到影響，部分病人需面臨更長時間的等待，這對病人的健康可能是潛在的威脅。

INC Ransom勒索軟體是一種新型的攻擊手法，通常經由釣魚郵件或網路漏洞進行攻擊。一旦成功入侵系統，該勒索軟體會加密大量檔案資料並索求高額贖金。受害者必須先支付贖金，之後才能換取解密工具來恢復資料，只不過即使已經支付了贖金，並不能確保攻擊者不會再次的入侵。

McLaren Health Care已經開始進行系統恢復和資料解密的工作，並且與聯邦調查局（FBI）及其他資安專家合作，試圖找出攻擊的具體來源和擴散範圍。雖然醫院方面並未透露是否已經支付贖金，但他們表示正在全力以赴處理這次事件。

INC Ransom最早大約出現於 2023 年 7 月，此後一直針對公共單位和民間組織企業。受害名單包括教育、醫療保健、政府和工業團體，例如Yamaha Motor Philippines (山葉機車菲律賓分公司)、Xerox Business Solutions(全錄商業方案公司)美國分公司和蘇格蘭國家醫療服務 (National Health Service)。

資訊專業媒體 BleepingComputer 對新的 Lynx 勒索軟體加密器和最新的 INC 加密器之間的字串進行了分析比對，除了有一小部分的改變之外，可以確定的是它們大部分都相同。

2023 年 11 月，McLaren 向近 220 萬人通報資料遭到外洩，源頭的網路攻擊則發生在 2023 年 7 月下旬至 8 月之間，其中包括他們的個資和病歷等醫療資訊遭到外洩。被侵入的資料包括姓名、社會安全號碼、健保和病歷資訊，其他還有醫療保險/醫療補助、處方/藥物、診斷結果和診療資訊等。

ALPHV/BlackCat 勒索軟體組織宣稱他們參與了2023 年 7 月的攻擊事件，以及後續於 10 月 4 日發生的資料外洩。

資安專家建議，醫療機構應該定期進行系統安全評估和資安演練，以檢測和改進現有的防禦措施。此外，定期備份關鍵數據也是防範此類攻擊的重要措施之一，這可以在系統遭受攻擊後，快速恢復業務營運，減少資料被駭的風險。

McLaren Health Care的這次事件不僅對醫療機構本身，也對整個產業提出了資安防護的新挑戰。隨著網路攻擊技術的持續演進，醫療機構必須不斷更新和加強其資安防護措施，才能有效應對各種網路安全威脅。

竣盟科技建議，醫療機構及其他企業網路用戶，採取多重防護措施及最佳解決方案，可以有效幫助降低遭受勒索軟體攻擊的風險：

定期更新軟體：定期更新應用程式可確保修補任何已知漏洞，從而更好地防止潛在的漏洞。
對未經請求的訊息持懷疑態度：使用者應警惕未經請求的訊息，尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
驗證真實性：如果訊息聲稱來自 Authy 或 Twilio 等合法服務，使用者應在採取任何操作之前透過官方管道驗證其真實性。
啟用額外的安全措施：在可能的情況下，啟用額外的安全功能（例如生物辨識身分驗證或基於硬體的雙重認證）可以提供額外的保護層。
熟悉勒索軟體攻擊手段：了解常見的勒索軟體攻擊手法以及如何辨識它們並做出因應，可以顯著降低受到侵害的風險。

傳出台灣某上市光纖網路設備大廠遭仙人掌勒索軟體加密

Posted on 2024 年 6 月 12 日2024 年 6 月 12 日 by blogadmin

Key Points:

*仙人掌勒索軟體自 2023 年 3 月以來一直活躍，迄今一直針對知名目標。

*主要針對 VPN 設備，尤其是 Fortinet VPN 中的漏洞。從事件中觀察到的趨勢表明，未經授權的存取通常是使用 VPN 服務帳戶透過 VPN 伺服器獲得的。

*仙人掌勒索軟體最奇特的一點是它會以自我加密逃避偵測。

6月11日竣盟科技在仙手掌揭秘的暗網中發現有台灣某光纖網路設備業者的頁面，駭客聲稱已盜得該業者的公司機敏資料，包括工程檔案、財務資料、客戶資訊、個人身份文件，資料庫備份等。作為證據，駭客公佈疑似該企業台灣員工的護照及中國籍員工的通行證。然而目前沒看到駭客勒索的金額及談判最終的有效期限，相對於其他被勒索的公司，本次的台灣業者被盜的資料顯然較少，仙人掌稱盜竊了93GB的數據。

自 2023 年 3 月以來仙人掌(Cactus)勒索軟體組織已成為一個重大威脅，利用各種策略來破壞企業網路並部署勒索軟體。據觀察，該組織以 VPN 設備為初始存取目標，並利用已知漏洞在受害者環境中站穩腳跟，同時仙人掌會濫用合法的遠端監控和管理 (RMM) 工具來實現受感染系統的持久性。Cactus 勒索軟體組織於2023 年3月出現，透過利用已知漏洞（尤其是VPN 設備中的漏洞）、採用Living-off-the-Land 等複雜技術以及利用合法網路工具進行橫向移動，迅速升級了其行動。該組織的方法涉及使用需要解密金鑰才能執行的加密有效負載，這有助於逃避安全工具的偵測。仙人掌也使用 Cobalt Strike 等工具，並利用 TotalExec 等腳本來自動化加密過程，這與 BlackBasta 勒索軟體組織使用的策略非常相似。仙手掌勒索軟體不僅僅止於加密。駭客為確保其存在深植於受感染的系統中，採用複雜的感染鏈並利用多層混淆來隱藏其活動。從使用UPX 打包和利用OpenSSL、AES OCB和ChaCha20_Poly1305等加密演算法，到組織重新啟動執行和枚舉網路共享，Cactus 展示了多方面的攻擊方法，確保其活動不僅成功，而且保持秘密性。Cactus 勒索軟體透過建立一個名為「更新檢查任務」的排程任務（每 5 分鐘運行一次）來確保其在受感染系統中持續存在，從而將勒索軟體作為SYSTEM 運行，並確保其惡意活動繼續順利進行。

仙人掌是雙重勒索軟體變種的一個例子，除了結合使用 RSA 和 AES 來加密資料外，惡意軟體還嘗試竊取資料。據觀察，仙人掌可以使用 Rclone 來實現此目的，它將被盜的文件移動到雲端儲存。一旦加密和洩漏完成，仙人掌就會在使用者的電腦上發布勒索資訊。

以下提供仙人掌相關的部分的入侵指標（IOCs）:

be139fc480984eb31de025f25a191035

08d2c800c93015092e14738c941ac492

02e4da16377fc85e71a8c8378b2a8a96

8b37df9d295bbc2906961f72b7cdc5fb

8af259ad55c3746926e992c82bc7e850

55e42014424c0d120ff17f11e207e4f0

5f7c3cda7759ef6e577552ad322c1f64

39fe99d2250954a0d5ed0e9ff9c41d81

0e4ee38fe320cfb573a30820198ff442

8d2e4bef47e3f2ee0195926bbf4a25d5

f7a6d1e6e5436bd3c10f3a26f3e9b9b9

fb467a07f44e8d58e93e3567fd7ff016

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

勒索軟體Knight重新命名為RansomHub且加倍攻擊傳出台灣電腦大廠遭駭

Posted on 2024 年 6 月 7 日2024 年 6 月 7 日 by blogadmin

Knight（又稱 Cyclops 2.0）勒索軟體於 2023 年 5 月首次出現，採用雙重勒索策略來竊取和加密受害者的資料以獲取經濟利益。它可跨多個平台運行，包括 Windows、Linux、macOS、ESXi 和 Android。Knight利用網路釣魚和魚叉式網路釣魚活動作為惡意附件形式的分發媒介，並在RAMP網路犯罪論壇上推動廣涉及勒索軟體的攻擊。然而其勒索軟體即服務 (RaaS) 操作於 2024 年 2 月下旬關閉，並出售其原始程式碼，增加了勒索軟體轉手給其他駭客的可能性，據悉獲得該原始碼的駭客隨後並以Ransom Hub品牌重新出發。Ransom Hub 在同月發布了第一個受害者訊息，最近幾週與一系列高關注度勒索軟體攻擊有關，其中包括美國醫療集團 Change Healthcare、拍賣業者佳士得和Frontier Communications(美國前線通訊公司)的攻擊。值得一提的是，Ransom Hub揚言不會攻擊獨聯體國家(Commonwealth of Independent States — CIS)包含古巴、北韓和中國。普遍認為這可能與俄羅斯有關，長期以來，俄羅斯一直對駭客犯罪活動視而不見，條件是這些活動不針對俄羅斯或其盟友。根據TheHackerNews報道，觀察到Ransom Hub 的攻擊是利用已知的漏洞 (例如ZeroLogon ) 來取得初始的存取權限，並在部署勒索軟體之前刪除Atera和Splashtop等遠端桌面軟體。

根據Malwarebytes分享的統計數據，僅在2024年4月， Ransom Hub 就與26起已確認的駭客攻擊事件有關，僅次於Play、Hunters International 、Black Basta和LockBit。另外，賽門鐵克一份報告中表示，Knight和Ransom Hub 這兩個系列的勒索軟體其程式碼重疊程度很大，很難區分它們。它們之間的重疊也延伸到用於編碼字串的混淆技術、機密檔案後遺失的勒索訊息，以及在開始加密之前以安全模式重新啟動主機的能力。唯一主要的區別是透過cmd.exe執行的命令集，儘管“相對於其他操作的呼叫方式和順序是相同的”。昨日(6/6)也傳出藍天電腦遭Ransom Hub攻擊，被盜200Gb的資料，今天(6/7)該公司針對該起事件發佈重訊，稱其資安單位偵測網路傳輸異常，隨即啟動資安防禦及復原機制，目前未有無法營運或無法正常提供服務之情事。

根據美國知名網路安全公司Mandiant：”在近三分之一的事件中，勒索軟體是在攻擊者首次存取後48小時內部署的。” “百分之七十六(76%)的勒索軟體部署發生在工作時間之外，其中大多數是發生在清晨。” 而勒索軟體攻擊的特點在於用戶使用商業上可用的合法遠端桌面工具做為入侵操作，而不是依賴Cobalt Strike(滲透偵測工具)。對合法工具的日益依賴可能反應了攻擊者努力向檢測機制隱藏其操作，並減少自行開發與維護自訂工具所需要的時間與資源。

以下提供Ransom Hub相關的部分的入侵指標（IOCs）:

勒索軟體的攻擊事件嚴重干擾了倫敦多家醫院

Posted on 2024 年 6 月 5 日2024 年 7 月 19 日 by blogadmin

針對病理和診斷服務提供者 Synnovis 的勒索軟體攻擊嚴重影響了倫敦幾家主要醫院的運作。這次攻擊迫使受影響的醫院取消了一些醫療程序，在某些情況下，患者被轉移到其他醫院。

最近，醫療保健和病理服務提供者 Synnovis 成為勒索軟體攻擊的受害者。該事件涉及麒麟(Qilin)勒索軟體的部署，麒麟勒索軟體作業於 2022 年 8 月以「Agenda」名稱啟動，但後來更名為麒麟。值得注意的是，這些勒索軟體攻擊通常充當更廣泛的網路間諜活動的掩護，針對高價值組織的敏感數據，然後將其用於情報目的，而不是純粹的經濟利益。

6 月 3 日，在第三方提供者遭受勒索軟體攻擊，導致醫療保健專業人員無法獲得病理學服務後，倫敦幾家最大的醫院已取消手術，並宣布進入緊急事件狀態。根據社群媒體上發布的發表貼文和內部電子郵件，勒索軟體攻擊影響了一家名為 Synnovis 的公司，該公司為多家醫療機構提供輸血驗血等病理學服務。受影響的醫院包括國王學院醫院、蓋伊醫院、聖托馬斯醫院、皇家布朗普頓醫院和伊芙琳娜倫敦兒童醫院。

英國 NHS 發言人表示：“緊急護理仍然可用，因此患者應以正常方式獲得服務，在緊急情況下撥打 999 或撥打 111，患者應繼續赴約，除非另有通知。在政府國家網路安全中心和我們的網路運營團隊的支持下，我們正在緊急努力充分了解該事件的影響。”

受影響的醫院也取消了一些醫療程序（包括手術）或將其轉交給其他提供者，因為他們無法「安全」地執行這些程序。

由於不再提供快速週轉的血液檢測結果，受影響醫院的緊急護理也可能受到這次勒索軟體攻擊的影響。

Synnovis 客戶服務入口網站上的警報警告其資料中心出現問題，且所有系統目前都無法存取。

Synnovis 在其網站上發布的一篇文章中透露，它是勒索軟體攻擊的受害者:

6 月 3 日星期一，Synnovis成為勒索軟體網路攻擊的受害者。這影響了 Synnovis 的所有 IT 系統，導致我們的許多病理學服務中斷。該公司發布的聲明稱: 遺憾的是，這正在影響患者，由於優先處理緊急工作，一些活動已經取消或轉移給其他提供者。這家病理和診斷服務提供者已在 NHS 專家的幫助下對此攻擊展開調查。專家們正在努力全面評估攻擊的影響，並採取適當的行動來遏制事件。該公司還宣布，他們正在與 NHS Trust 合作夥伴密切合作，盡量減少對患者和其他服務用戶的影響。

Synnovis 前身為 Viapath，於 2009 年成立為 GSTS Pathology ，並於 2022 年 10 月切換為 Synnovis 品牌。

Synnovis 是 SYNLAB 英國和愛爾蘭、蓋伊和聖托馬斯 NHS 基金會信託基金以及國王學院醫院 NHS 基金會信託基金之間的合作夥伴。

Synlab Italia 是 SYNLAB 集團的一部分，在義大利各地運營 380 個實驗室和醫療中心，在被迫關閉 IT 系統以遏制勒索軟體攻擊後，該公司於 4 月下旬暫停了所有醫療診斷和測試服務。

麒麟勒索軟體攻擊澳洲法院系統聽證紀錄遭竊

Posted on 2024 年 1 月 3 日 by blogadmin

法院稱首次檢測到攻擊是在12月21日，但根據事後的調查，入侵發生於12月8日。

1月2日，澳洲維多利亞法院服務處 (Court Services Victoria-CSV) 披露，法院案件和法庭受到網路安全事件的影響，造成法庭內視聽技術網路被中斷，影響錄音和轉譯服務，攻擊者可能已存取聽證會紀錄。這次攻擊是在 12 月 21 日聖誕節假期前夕被發現的，當時工作人員的電腦被鎖定，螢幕上顯示主題為「YOU HAVE BEEN PWND」的訊息。維多利亞州法庭服務處執行長Louise Anderson透過聲明表示，需要時間來確定哪些錄音和筆錄受到影響，Anderson稱他們在2023 年 12 月 21 日首次檢測到網路攻擊，該攻擊允許駭客中斷運作並存取其錄音和筆錄的檔案。雖然在檢測到的當下，受影響的系統立即被隔離和停用，然而根據隨後的調查顯示，該入侵發生在更早的日期，即 2023 年 12 月 8 日。聲明指出2023年11月1日到12月21日的部分法院聽證會錄音可能已失竊；11月1日之前的一些聽證會錄音已在網路攻擊中被存取，據信，一些失竊的錄音可能涉及身份受法院保護令的人。

具體來說，以下法院和司法管轄區受到了安全事件的影響：

最高法院—上訴法院、刑事庭和實務法院於 12 月 1 日至 21 日期間舉行聽證會，並於 2023 年 11 月舉行兩次地區聽證會。

縣法院－2023 年 11 月 1 日至 12 月 21 日期間所有刑事和民事法院舉行聽證會。

治安法院－2023 年 11 月 1 日至 12 月 21 日期間審理了一些案件。

兒童法庭－2023 年 10 月起舉行一場聽證會。

驗屍法庭– 2023 年 11 月 1 日至 12 月 21 日期間舉行的所有聽證會。

澳洲法院將向那些被視為受事件影響的人發出通知，並已向包括維多利亞警察局、維多利亞州政府服務部和澳洲國家身分和網路支援社區服務 (IDCARE) 等單位通報了資料外洩事件，他們正在協助調查和應對。

儘管維多利亞法院服務處仍在重組受影響的系統，但維多利亞州法院的運作不會受到影響，預計於 2024 年 1 月審理的所有案件都將正常進行。維多利亞法院沒有透露對此次攻擊負責的網路犯罪分子的名字，但接受澳洲 ABC News採訪的消息人士稱，此次攻擊是由麒麟(Qilin)勒索軟體組織發動的。麒麟勒索軟體作業於 2022 年 8 月以「Agenda」名稱啟動，但後來更名為麒麟。2022 年 10 月，台灣某上市製藥大廠也被列為其受害者。2023 年 11 月，一般來說，麒麟透過發送包含惡意連結的網路釣魚電子郵件來瞄準受害者，以存取其網路並竊取敏感數據，一旦麒麟完成初始存取，它通常會在受害者的基礎設施中橫向傳播，試圖找到要加密的關鍵統計數據。加密資料後，麒麟留下勒索字條“您的網路/系統已加密，加密的檔案具有新的檔案副檔名”，並要求勒索贖金以支付解密金鑰。

有關麒麟的部分入侵指標(Indicator of compromise -IOCs):

555964b2fed3cced4c75a383dd4b3cf02776dae224f4848dcc03510b1de4dbf4

417ad60624345ef85e648038e18902ab

76f860a0e238231c2ac262901ce447e83d840e16fca52018293c6cf611a6807e

fd7cbadcfca84b38380cf57898d0de2adcdfb9c3d64d17f886e8c5903e416039

三家德國醫院在平安夜遭到LockBit勒索軟體的攻擊

Posted on 2023 年 12 月 29 日2023 年 12 月 29 日 by blogadmin

德國東威斯特法倫天主教醫院協會(Katholische Hospitalvereinigung Ostwestfalen-KHO) 已證實由其經營的三家醫院Franziskus Hospital Bielefeld、Sankt Vinzenz Hospital Rheda-Wiedenbrück和 Mathilden Hospital Herford在2023 年 12 月 24 日凌晨遭到網路攻擊，造成整個 IT 系統中斷。KHO發布的公告中寫道：“身份不明的攻擊者已經存取了醫院 IT 基礎設施的系統，並加密了數據。初步調查表明，這可能是 Lockbit 3.0 的網路攻擊，目前無法預見解決時間。出於安全原因，所有系統一經發現立即關閉，並通知所有必要的各方和機構。”由於目前，調查正在進行中，入侵程度以及攻擊者是否竊取資料尚未確定。

根據BleepingComputer的報道，KHO營運的以下三家醫院受到了網路攻擊的影響：

Franziskus Hospital Bielefeld 醫院 – 614 床、10 個專科科室、390 名醫生和工作人員

Sankt Vinzenz Hospital Rheda-Wiedenbrück 醫院 – 614床，5個專科室，200名醫生和工作人員

Mathilden Hospital Herford 醫院 – 614 床、8 間專科室、230 位醫生和工作人員

上述醫院在德國的所在地提供醫療保健服務方面發揮著關鍵作用，因此影響其 IT 系統的網路攻擊會給處於醫療緊急情況的人帶來可怕的影響。

根據KHO的聲明，受影響醫院的患者治療繼續正常進行，所有診所業務仍然可用，但存在一些技術限制。透過成功恢復備份，仍然可以存取重要的患者資訊。然而，KHO 的三家醫院無法提供緊急護理，因此急需醫療護理的人員被轉移到其他地方，可能會導致嚴重的延遲。

截至本文撰寫時，LockBit 勒索軟體集團尚未將 KHO 添加到在其暗網揭秘網站中，因此網路犯罪分子是否竊取了患者資料或其他敏感資訊尚未確定。

Black Basta攻擊已過兩個月多倫多公共圖書館至今仍是犯罪現場對外服務將於明年一月逐步恢復?!

Posted on 2023 年 12 月 27 日2023 年 12 月 27 日 by blogadmin

多倫多公共圖書館(Toronto Public Library-TPL)仍處於從Black Basta勒索軟體攻擊中恢復的過程中，Black Basta攻擊限制了其服務，令TPL的運作方式大規模的改變。圖書館人員以手工核對材料，任何退回的書本或物品都無法重新登入系統中，，大約有 100 萬件物品裝滿了 10 輛拖拉機拖車。圖書館內的公共電腦已關閉，無法提出跨分館圖書轉移請求。

多倫多市圖書館館長Vickery Bowles週三發表了一份新聞稿，解釋了自 10 月底攻擊事件曝光以來圖書館所面臨的災難性局。Bowles表示，該圖書館擁有 100 個分館，擁有 5,000 多名員工，其服務將於 1 月底開始逐步恢復。

儘管他們花了數週時間試圖恢復服務，但圖書館的線上帳戶仍然無法使用，公共電腦和印表機也無法使用。這對於依賴城市圖書館作為主要網路存取來源的人來說是毀滅性的——特別是低收入城市居民和學童。

Bowles表示，雖然許多圖書館服務仍在繼續運營，但隨著調查的繼續，圖書館仍然是犯罪現場。我們知道我們員工的個人資訊被盜，我們將在網路安全專家的支持下繼續調查資料外洩的程度。我們知道，我們是多倫多許多最弱勢群體獲得電腦的唯一管道。他們無法滿足日常需求，這尤其具有挑戰性和令人擔憂。我們還收到了依靠我們的電腦完成學業的學生、依靠我們印表機列印簡歷的求職者以及使用圖書館電腦與家人和朋友保持聯繫的人們的來信。

Bowles補充說，家庭、研究人員和其他人告訴圖書館，他們的有限存取使生活「變得更加艱難和更加昂貴」。Bowles表示，儘管遇到了困難，圖書館仍能允許顧客借閱 50 萬個實體資料，仍有近 1 萬人能夠註冊借書卡。

Bowles解釋說，漫長的恢復過程需要幾個月的時間，因為圖書館需要以一種能夠防止未來攻擊的方式恢復所有內容。

「前面的路很長，但我們期待著全面回歸，」Bowles說。“儘管這些犯罪分子傷害了我們，但他們當然沒有阻止我們履行我們的使命，即提供免費和公平的圖書館服務，以滿足多倫多人民不斷變化的需求。”

Black Basta是一個在2022年4月才出現的勒索軟體組織，已被用來攻擊全球超過 329 個組織，並已成為 2022-2023 年受害者數量第四大活躍的勒索軟體，Black Basta 沒有採用激進的前端策略，而是精心針對美國、日本、加拿大、英國、澳洲和紐西蘭的組織。研究人員認為Black Basta 可能是 Conti 的一個分支。在該組織於 2022 年 5 月解散之前，Conti的線上聊天內容被洩露，暗示其與俄羅斯政府有聯繫，並支持入侵烏克蘭。根據Elliptic 和 Corvus Insurance 的聯合研究發現，自 2022 年以來，Black Basta 勒索軟體組織已收到至少 1.07 億美元的比特幣贖金。Black Basta慣用雙重勒索策略，先竊取被害者敏感檔案和資訊，並威脅要公開資料來勒索被害者支付贖金。研究發現 Black Basta 針對VMWare ESXi伺服器製作的新型勒索軟體，同時也有感染 Windows 系統的版本。此外，許多攻擊都利用 Qakbot（也稱為 QBot）來幫助其在組織中橫向傳播、執行偵察、竊取資料和執行有效負載。

2023 年，多個城市圖書館系統面臨攻擊，其中包括涉及大英圖書館（世界上最大的圖書館之一、英國國家圖書館）的重大事件。

勒索軟體Black Basta的部分入侵指標(Indicator of compromise -IOCs):

e8f5fa12faea9430645853fbb24ce46a5a62cb906168dd17b62d865ddfe201e3

e2eb9029fd993a9ab386beb7ca4fa21a1871dc0c7568eb802cac1ea3c53cad8b

d4dd79c97b091dd31791456c56d727eb0b30af9c0172dd221556d28495b8a50f

cd5b4bd824bad0be78e4cdf6d7fe8a950bd63f294713b8cb49de887d8a8410bc

4f7d97bf4803bf1b15c5bec85af3dc8b7619fe5cfe019f760c9a25b1650f4b7c

102.184.151.194

102.40.236.32

104.194.10.130

104.243.38.65

105.111.60.60