爆出勒索軟體入侵導致阿根廷移民局網路系統關閉, 該國出入境被迫停止4 小時服務

阿根廷國家移民局遭到NetWalker勒索軟體攻擊被要求支付362萬美元的比特幣贖金, 根據外媒報導,阿根廷網路犯罪局公佈的一份刑事起訴書,說明在8月27日上午7點左右,移民局的總資訊局和技術局接到了來自各個檢查站的許多電話,要求提供技術支援。網路犯罪局稱由於意識到這不是一般情況,因此評估了中央數據中心和分散式伺服器的基礎結構,並注意到一種惡意軟體的活動已經影響了基於MS Windows的系統檔案(主要是ADAD SYSVOL和SYSTEM CENTER DPM)以及用戶工作和共享文件夾中存在的Microsoft Office檔案(Word和Excel)為了防止勒索軟體感染其他設備,移民局和檢查站使用的電腦網路被關閉。據阿根廷新聞網站Infobae稱,這導致邊境的出入境服務暫停了四個小時。

阿根廷移民局表示:在國際過境運作的出入境系統尤其受到影響,這導致進入和離開國土的工作受到延誤。”

當Netwalker勒索軟體進行攻擊時,駭客已將勒索信留在加密的設備上。勒索信包含引導到暗網上支付網站的連結,該網站包含有關如何購買解密器,贖金金額以及有關在攻擊過程中被盜的任何未加密文件的資訊。

據外媒 BleepingComputer取得的Netwalker Tor付款頁面中,了解到駭客最初要求200萬美元的贖金。經過7天后,贖金增加到400萬美元,約355個比特幣,Tor網站還包括一個“被盜數據”頁面,該頁面顯示了此攻擊期間從“ Migraciones Argentina阿根廷移民局"盜取到的數據。

由於移民局拒絕與攻擊者進行談判,並聲稱沒有任何敏感的,或個人的公司的資訊受到破壞,他們不會太在意取回這些數據。

最新的 NetWalker 勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5f4d4e6034a4e01f2a0961ff

Source: https://www.bleepingcomputer.com/news/security/ransomware-attack-halts-argentinian-border-crossing-for-four-hours/

*****竣盟科技快報歡迎轉載,但請註明出處

美國FBI的Flash Alert警報,針對美國公司發佈關於神秘的駭客組織發動廣泛性的DDoS攻擊並勒索比特幣

FBI於上週發佈了的MU-000132-DD Flash Alert警報,通知並警告美國當地的公司, 全球許多組織已遭受到一群自稱”Fancy Bear”的駭客組織發動勒索性的DDoS攻擊, FBI在警報中並沒有透露駭客組織針對性的地區, 然而表示駭客是瞄準零售,金融, 旅遊, 電商的行業。

自今年8月12日始, 發現攻擊者冒充知名駭客組織“Fancy Bear, Cozy Bear, Lazarus Group和Armada Colletive”在發動了大規模且具勒索性的DDos(RDDos 或RDos)攻擊後, 向受害公司發出勒索信。

根據以色列資安公司Radware,遭攻擊的受害公司來北美, 自亞太區,和歐洲中東非洲地區(EMEA) , 該資安公司表示, 駭客組織要求受害公司支付的贖金範圍為10 比特幣(約113,000美元)至20比特幣(約226,000美元), 勒索信中表示如果公司未能拿出錢支付贖金,DDoS攻擊將上升到2Tbps,一旦攻擊開始,錯過付贖金的最後期限,贖金費用將以每10 比特幣遞增。

另外FBI表示,受到RDoS攻擊的多個組織在收到勒索信後報告了受到小型攻的擊,但在大多數情況下,在為期六天的期限到期後,駭客並未再進行DDoS活動。然而一些組織確實報告說,其運營受到無法緩解的攻擊的影響。

FBI建議美國公司使用DDoS防護服務,以在網路受到影響之前自動識別並阻止此類攻擊。

還建議他們與Internet服務提供商合作,以便在發生DDoS攻擊時能輕鬆地監視和阻止網路流量。

另一外媒ZDNet揭露了,歐洲有十多家互聯網服務提供商(ISP)報告了針對他們DNS的基礎結構的DDoS攻擊,在過去一周遭受攻擊的ISP列表包括比利時的 EDP,法國的 BouyguesTélécom,FDN,K-net,SFR,以及荷蘭的Caiway,Delta,FreedomNet,Online.nl,Signet和Tweak.nl。

*****竣盟科技快報歡迎轉載,但請註明出處

Sources:
https://www.documentcloud.org/documents/7070798-FLASH-MU-000132-DD.html
https://www.zdnet.com/article/european-isps-report-mysterious-wave-of-ddos-attacks/

您絕對不能錯過的 – NetWalker 勒索軟體如何在一小時內攻陷系統! 內含最新的 NetWalker 情資和 Mitre Attack 攻擊手法!!

由 The DFIR Report 發佈的”NetWalker Ransomware in 1 Hour”, 報告了 NetWalker 勒索軟體背後的駭客, 整個入侵過程只需約 1 個小時! !  

駭客組織透過 RDP 登錄,嘗試運行 Cobalt Strike Beacon,然後使用 ProcDump 和 Mimikatz 進行記憶體傾印。接下來,他們將 RDP 放在網域控制站前, 駭客會使用 PsExec 在所有加入網域的系統上散播並運行 NetWalker 勒索軟體的有效 payload 。

以下為研究人員針對 NetWalker 勒索軟體的攻擊過程發佈的時間軸:

研究員在攻擊發生時,看到了多個 RDP 登錄,並相信入侵的來源為 198.181.163[.] 103,這可能是 IPVanish 的 VPN。駭客使用 DomainName \ Administrator 帳戶登錄,並迅速放進了c37.ps1 和 c37.exe。而在初始登錄後,c37.ps1 隨即被放入並執行約16分鐘,但它並沒有造成網路流量,這使得研究員懷疑它到底有沒有動作。

這個 Script 看起來像 Virus Total 上分析得到的 Cobalt Strike, 也可能還包含 Windshield 或 SplinterRAT。不過即使經過了 7 天以上,c37.ps1 檢測到惡意的比例也相當低。

再過了幾分鐘,c37.exe 被執行了,它將自身複製到臨時目錄,然後停止。此二進制文件包括 Neshta 以及許多功能,如下所示:

然後 AdFind 與名為 adf.bat 的 script 一同被置入。

從這些 lnk 文件中我們可以看到,它們打開了AdFind 輸出的一些 txt 文件。我們還可以看到 domains.txt 和 ips.log 是在 AdFind 運行幾分鐘後建立的。

運行 AdFind 幾分鐘後,將打開命令列提示,並 Copy & Paste 以下命令或手動 key 入以下命令:

nltest /dclist:

net group “Domain Computers” /DOMAIN

net groups “Enterprise Admins” /domain

net user Administrator

再放入並執行了一個名為 pcr.bat 的 Script

然後再 ping 主機名稱列表, 並將輸出寫入 ips.log, 他們強制使用 IPv4 的參數發送 ping 指令。此 domains.txt 文件很可能來自上述使用 domainlist 參數的 AdFind 命令。

在置入 Mimikatz 的一分鐘後置入 procdump64.exe。然後駭客使用 Procdump 命令來傾印 lsass:

procdump64.exe -ma lsass.exe lsass.dmp

Mimikatz 在大約一分鐘後運行並進行橫向擴充

駭客在傾印憑證後以 RDP 進入網域控制器(DC)。透過 RDP 訪問 DC 後,然後置入了 ip.list.txt,P100119.ps1 和 PsExec。

至此駭客已準備好執行他的目標,他使用 PsExec 以網域管理員的身份在所有系統上掛載共享資料匣,然後使用 PowerShell 執行勒索軟體的 payload。透過以下命令將 NetWalker 佈署到蜜罐中所有連上網路並已加入網域的系統:

C:\psexec.exe @ip-list.txt -d cmd /c “(net use q: /delete /y &; net use q: \\DomainController\DomainName /user:DomainName\administrator ThisWasThePassword &; powershell -ExecutionPolicy ByPass -NoLogo -NoProfile -windowstyle hidden -NoExit -File q:\P100119.ps1”

在 PowerShell 腳本執行後,受害者會獲得以下勒索信:

最新的 NetWalker 勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上: 

https://otx.alienvault.com/pulse/5f4d4e6034a4e01f2a0961ff

Source:

紐西蘭證券交易所NZX, 連續遭受DDoS攻擊,導致持續4天停止交易, 今也傳出維也納證券交易所, 同樣受到攻擊!

重點:

*在本週稍早經歷了多次網路攻擊,截至本週五紐西蘭的證券交易所已經持續四天暫停交易。

*NZX表示,它在本週二及週三透過其網路服務供應商,遭受了來自海外的 DDoS 分散式阻斷服務攻擊。

* 消息人士還稱該發動攻擊的組織具有“高於平均水平”的DDoS技能

* 駭客組織反複地針對證券交易所的託管服務供應商 Spark,這也導致該供應商的其他客戶服務中斷。

在本周初遭受多次網路攻擊後,今天(週五)紐西蘭證券交易 NZX 連續第四天停止交易。

路透社報導,儘管紐西蘭交易所早些時候表示,在採取使系統連線暢通的措施之後,聯交所將會重新開放,但 NZX 首頁,NZX 債券市場和 Fonterra 股東市場均仍處於暫停交易的狀態。

截至台灣時間上午8:27,NZX 的網站仍然無法訪問。

紐西蘭證券交易所在一份聲明中說,首頁和 Fonterra 股東市場週五的開盤時間延長,當地時間上午10:32左右,它們從開盤前直接停牌。據報導,NZX 債務市場也於當地時間上午9:58暫停交易。

昨天,《New Zealand Herald》報導了在反複的網路攻擊導致再度暫停股票交易之後,NZX 及其網路提供商 Spark 商議如何與未知的敵人進行對抗。

據悉,NZX 已將其網域 nzx.com 移至跨國內容傳遞網路大廠 Akamai Technologies。該交易所的網站仍由惠靈頓的 Red Shield 運營的內容傳遞網路提供服務。

資安評論員 Catalin Cimpanu 說,資安業的消息人士告訴他,一群“ DDoS勒索者”是對 NZX 攻擊的幕後黑手。

該組織要求用比特幣支付贖金以解除其攻擊,據說該組織模仿了一個有時被稱為“Armada Collective and Fancy Bear”的俄羅斯組織。據說該組織本週還對匯款服務 MoneyGram,印度 Yes Bank,PayPal,Braintree 和 Venmo 發動攻擊。

另外在本週一(8月24日)發布的更新報告的中,Akamai Technologies 證實,該組織發起了複雜的 DDoS 攻擊,在某些情況下,高峰值攻擊速度接近每秒 200 Gb 。

資安評論員 Catalin Cimpanu 也透露, 有跡象顯示該組織把目標轉向維也納證券交易所(Vienna Stock Exchange), 維也納證券交易所的網站也一度無法進入, 如附圖 

最後, NZX 和 Spark 拒絕透露是否涉及勒索。

*****竣盟科技快報歡迎轉載,但請註明出處.

Maze Cartel 迷宮勒索聯盟又添一員,一個名為SunCrypt的新型勒索軟體

Maze Cartel 迷宮勒索聯盟又添一員,一個名為SunCrypt的新型勒索軟體

在6月時Maze勒索軟體的背後駭客, 建立了一個名Maze Cartel的敲詐勒索聯盟, 由Maze作為首腦,該聯盟成員包括Lockbit 和Ragnar Locker, 現增加新成員SunCrypt。該敲詐勒索聯盟旨在共享受害者資料, 勒索手法, 技術資訊, 幫助彼此進一步的勒索受害公司。

SunCrypt的背後駭客向外媒BleepingComputer透露其加盟的原因, 據報是因為Maze乏身處理大量的行動,需要更多的支援。SunCrypt補充說:”我們的專長正是發動勒索攻擊。”

SunCrypt進一步透露,如果勒索行動成功, 他們也能分到贖金, 但並未分享有關如何拆分贖金。

以下提供由資安人員Vitali Kremez分享的SunCrypt勒索軟體在PowerShell上的執行

也附上SunCrypt的勒索信樣本和在virus total分析的樣本,供您參考

由於SunCrypt屬新型勒索軟體, 其揭秘網站上目前只列出五名受害者。

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載,但請註明出處

MITRE發布的2020最危險軟體漏洞類型 Top 25 的列表

MITRE公布2020年最危險的25個軟體錯誤

軟體錯誤可以是軟體解決方案的程式碼,結構,實現或設計中發現的缺陷和漏洞,漏洞和其他類型的錯誤,可能會使正在運行的系統受到攻擊 ,其中以跨站點腳本(XSS)排名第一, 因為除易於發現和利用之外,攻擊者還可以在成功利用後,完全控制易受攻擊的系統,竊取敏感數據或發動阻斷服務攻擊(DoS)。

為了建立2020年列表,CWE團隊利用了美國國家標準技術研究院(NIST)國家漏洞數據庫(NVD)內的常見漏洞和暴露(CVE®)數據以及常見漏洞評分系統(CVSS)得分與每個CVE相關聯。將公式應用於數據,對每個弱點進行評分。MITER解釋說: “ NVD以易於消化的格式提供資訊,有助於推動以數據驅動的方式建立2020 CWE Top25。”

完整的MITRE–Top 25列表如下:

RankIDNameScore
[1]CWE-79Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)46.82
[2]CWE-787Out-of-bounds Write46.17
[3]CWE-20Improper Input Validation33.47
[4]CWE-125Out-of-bounds Read26.50
[5]CWE-119Improper Restriction of Operations within the Bounds of a Memory Buffer23.73
[6]CWE-89Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)20.69
[7]CWE-200Exposure of Sensitive Information to an Unauthorized Actor19.16
[8]CWE-416Use After Free18.87
[9]CWE-352Cross-Site Request Forgery (CSRF)17.29
[10]CWE-78Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)16.44
[11]CWE-190Integer Overflow or Wraparound15.81
[12]CWE-22Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)13.67
[13]CWE-476NULL Pointer Dereference8.35
[14]CWE-287Improper Authentication8.17
[15]CWE-434Unrestricted Upload of File with Dangerous Type7.38
[16]CWE-732Incorrect Permission Assignment for Critical Resource6.95
[17]CWE-94Improper Control of Generation of Code (‘Code Injection’)6.53
[18]CWE-522Insufficiently Protected Credentials5.49
[19]CWE-611Improper Restriction of XML External Entity Reference5.33
[20]CWE-798Use of Hard-coded Credentials5.19
[21]CWE-502Deserialization of Untrusted Data4.93
[22]CWE-269Improper Privilege Management4.87
[23]CWE-400Uncontrolled Resource Consumption4.14
[24]CWE-306Missing Authentication for Critical Function3.85
[25]CWE-862Missing Authorization3.77

另外,自2016年以來使用最多的10個漏洞

三個月前的5月12日,美國網路安全和基礎架構安全局(CISA)和聯邦調查局(FBI)還發布了2016年至2019年間最常被利用的十大安全漏洞列表。

根據兩家政府機構–美國網路安全和基礎架構安全局(CISA)和聯邦調查局(FBI)自2016年以來對網路攻擊的分析,惡意行為者最經常利用Microsoft的對象鏈接和嵌入(OLE)技術中的漏洞,其中Apache Struts網路框架是利用率第二高的技術。

CISA說: “在前10名中,來自中國,伊朗,朝鮮和俄羅斯的國家贊助的網路參與者中最常使用的三個漏洞是CVE-2017-11882,CVE-2017-0199和CVE-2012-0158,”。“所有這三個漏洞都與Microsoft的OLE技術有關。”

例如,從2018年12月開始,中國駭客客就頻繁利用CVE-2012-0158,這表明目標組織未針對此漏洞修補其系統,並且威脅參與者只要發現沒有修復就繼續嘗試濫用此安全漏洞。 。

CISA還表示,到2020年,由於COVID-19大流行突然轉移到遠端工作。攻擊者一直在專注於利用像Office 365這樣的雲端協同服務的快速部署,以及利用未修補的Pulse Secure VPN漏洞(CVE-2019-11510)和Citrix VPN(CVE-2019-19781)。

自2016年以來使用最廣泛的十大安全漏洞的完整列表列:

CVEAssociated Malware
CVE-2017-11882Loki, FormBook, Pony/FAREIT
CVE-2017-0199FINSPY, LATENTBOT, Dridex
CVE-2017-5638JexBoss
CVE-2012-0158Dridex
CVE-2019-0604China Chopper
CVE-2017-0143Multiple using the EternalSynergy and EternalBlue Exploit Kit
CVE-2018-4878DOGCALL
CVE-2017-8759FINSPY, FinFisher, WingBird
CVE-2015-1641Toshliph, Uwarrior
CVE-2018-7600Kitty

Source: https://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html

https://www.bleepingcomputer.com/news/security/us-govt-shares-list-of-most-exploited-vulnerabilities-since-2016/

美國威士忌中蟬連第一的田納西威士忌-Jack Daniel’s Whiskey的母公司Brown-Forman百富門集團遭受REvil勒索軟體攻擊,被盜竊1TB數據。

Pin on Whiskey
Jack Daniel’s 威士忌

美國最大的烈酒公司Brown-Forman,歷史悠久,旗下品牌眾多包括Jack Daniel’s Whiskey,Old Forester, Woodford,Glenglassaugh等等。Brown-Forman總部位於肯塔基州。在全球共有6000多名員工,年銷售收入20多億美金。

REvil勒索軟體背後駭客於上周五宣布,他們已經破壞了Brown-Forman的電腦網路,並用一個多月的時間檢查Brown-Forman的用戶服務,雲端數據存儲和總體結構。據外媒BleepingComputer報導, REvil勒索軟體背後駭客在其揭秘網站上發布了多個螢幕截圖,其中顯示了據稱屬於Brown-Forman的目錄和文件。Revil聲稱他們竊取了1TB數據,其中包括公司協議、合同、財務報表和內部通信的等等機密數據。



隨後Brown-Forman在一份聲明中披露了該事件,承認遭受到勒索軟體的攻擊,同時他們披露了有關該事件的一些細節,該公司也向當局報告了此資安事件,並聘請了世界一流的第三方數據安全專家來調查此事件並盡快解決此問題。Revil勒索軟體攻擊的最後一步是加密數據,但REvil此次並未部署此例程攻擊。Brown-Forman發言人告訴外媒,他們在數據被鎖定之前就發現了攻擊,並成功將其阻止。

Brown-Forman發言人說,很遺憾我們認為某些數據包括員工數據受到了影響。我們正在與執法部門以及世界一流的第三方數據安全專家緊密合作,以儘快緩解和解決這種情況。

REvil勒索軟體於五月駭入了美國娛樂律師事務所 Grubman Shire Meiselas & Sacks和斯里蘭卡電信, 六月攻擊了阿根廷電信和澳洲飲料大廠Lion公司, 七月入侵了西班牙國家鐵路公司Adif等等,行徑相當大膽!

有關REvil 的情資:

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

加密蠕蟲竊取AWS憑證, TeamTNT成為第一個包含可掃描和竊取AWS憑證功能的加密挖礦殭屍網路…

TeamTNT成為第一個包含可掃描和竊取AWS憑證功能的加密挖礦殭屍網路

TeamTNT是一個針對Docker環境安裝的網路犯罪組織,該小組通過訪問API在Docker環境中部署DDoS和加密挖礦惡意軟體。TeamTNT的工作方式是在互聯網上掃描配置錯誤的Docker環境,將其管理API暴露在互聯網上並無需輸入密碼。

Cado Security表示它檢測到第一個具有從受感染主機竊取AWS憑證和配置詳細資料的功能的挖礦蠕蟲(殭屍網路)

在 8月17日英國安全公司Cado Security發布的報告中,表示TeamTNT最近更新了其操作方式。Cado研究人員說,除了原始功能之外,TeamTNT現在還擴大了針對Kubernetes環境安裝的攻擊範圍。

Cado研究人員表示,TeamTNT一項新功能,可以掃描受感染的基礎伺服器以獲取任何Amazon Web Services(AWS)憑證。

如果受感染的Docker和Kubernetes環境在AWS基礎架構上運行,TeamTNT則可掃描  〜/ .aws / credentials  和  〜/ .aws / config,並將兩個文件複製並上傳到其命令和控制的伺服器上

竊取並上傳AWS憑證和配置文件的TeamTNT程式碼

這兩個文件都是未加密的,並且包含基礎AWS賬戶和基礎架構的純文本憑證以及配置詳細資料。

Cado研究人員認為,攻擊者尚未使用任何被盜的憑據。研究人員說,他們向TeamTNT C&C伺服器發送了一組canary的憑據,但是在8月17日發布研究結果之前,這些帳戶都沒有被訪問過。

研究人員認為TeamTNT可以通過在功能更強大的AWS EC2集群中安裝加密挖礦惡意軟體或在黑市上出售被盜憑證來提高其利潤。

欲了解更多關於, TeamTNT的相關情資,可致OTX社群 :

https://otx.alienvault.com/pulse/5f3aa1e047a40112d69f524d

參考來源: https://www.cadosecurity.com/2020/08/17/teamtnt-the-first-crypto-mining-worm-to-steal-aws-credentials/

美國國家安全局 (NSA) 和聯邦調查局 (FBI) 的聯合資安警報,警告說俄羅斯間諜正在使用新型惡意軟體入侵 Linux 作業系統…

美國國家安全局 (NSA) 和聯邦調查局 (FBI) 在 8月 13日發布的聯合資安警報,警告說俄羅斯間諜正在使用新型惡意軟體入侵 Linux 作業系統。

美國國家安全局和聯邦調查局表示,這是一個初次公佈的惡意軟體“ Drovorub”,據了解該惡意軟體是由與俄羅斯軍隊相關的國家贊助駭客組織 APT 28,又稱為 Fancy Bear 所部署的,而 APT 28 隸屬於俄羅斯總參謀部情報總局 (GRU) 第 85 主要主要特勤中心。

在一份長達 45頁的詳細報告中,這些機構指責駭客將 Drovorub 作為俄羅斯間諜活動的一部分,並提供了檢測和減輕感染的建議。

Drovorub 可讓國家贊助的駭客開展各種活動,例如竊取文件、建立後門訪問權限、遠端控制目標電腦。Drovorub 惡意軟體實作了一種先進的偵測躲避技術,它利用進階的 “rootkit” 功能躲避偵測。

惡意軟體的客戶端可以直接與威脅參與者的 C2 基礎結構通信,具有文件上傳/下載功能,具有 “root” 特權的用戶可以執行任意命令,並且可以將網路流量轉發到網路上的其他電腦。

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

根據該報告,rootkit 非常成功的隱藏在受感染的電腦上,並且可以在重新啟動後保留下來,除非在 UEFI 啟動時選用 “Full boot” 或 “Thorough boot” 模式下以安全啟動。

報告描述了每個 Drovorub 元件的技術細節,這些元件透過 WebSockets 以 JSON 格式相互通信,並使用 RSA 算法對往返於伺服器的流量進行加密。

美國國家安全局和聯邦調查局建議組織將任何 Linux 系統更新為核心版本 3.7 或更高的版本,以避免受 Drovorub 惡意軟體的 rootkit 感染。

該聯合警報建議運行記憶體取證,探測文件隱藏行為,同時包含 snort 規則和 Yara 規則以檢測威脅。

專家還建議,網路邊界的封包數據檢測可用於發現網路上的 Drovorub 惡意軟體,而基於主機的威脅檢測方法包括掃瞄、資安產品、即時回應、記憶體分析和媒體(磁碟映像)分析,專家還建議系統擁有者使用有效且已簽章的模組進行登入。

欲了解更多關於 Drovorub 惡意軟體的相關情資,可至 OTX 社群:

https://otx.alienvault.com/pulse/5f3581cc4138be1d82c183b8

Source:https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF

竣盟科技官網:

https://www.billows.com.tw/

傳出相機大廠 Canon 佳能遭勒索軟體攻擊! Maze 的背後組織稱已盜出10TB數據!

傳出相機大廠 Canon 佳能受勒索軟體攻擊! Maze 的背後組織稱已盜出 10TB 數據!

重點整理:

*攻擊疑似在上週末開始

*Canon 佳能 IT 部門向全公司發送了關於斷網的警報

*BleepingComputer 報導, 勒索信是由 Maze 勒索軟體發送的。

*Maze 勒索軟體的背後組織說他們偷了 Canon 10TB 的數據。

從 7月 30日,佳能的 http://image.canon 照片和影像雲端儲存服務中斷了六天

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

在 8月 4日,該服務再次啟用,並包含狀態更新,該狀態更新可疑地表明“沒有洩漏圖像資料”

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

BleepingComputer 報導在今天有消息人士分享了佳能 IT 部門內部發送的警報,警告整個公司範圍內的故障會影響電子郵件,Microsoft Teams,應用程式和其他系統。

這些中斷也影響了佳能美國網站,引發內部伺服器錯誤或找不到到頁面的錯誤

一張含有 螢幕擷取畫面 的圖片

自動產生的描述
一張含有 螢幕擷取畫面 的圖片

自動產生的描述

另外,從勒索信識別出由是 Maze 勒索軟體發送的。

BleepingComputer 與 Maze 勒索軟體的背後組織聯繫後,只聲稱從 Canon 竊取了 10TB 的數據,但他們不會透露此次贖金金額或加密設備的數量等等,另外 Maze 也不承認http://image.canon 的中斷是由他們造成的。

 Maze 一反常態地沒有高調在其揭秘網站公佈 Canon 的相關資料, 讓人懷疑背後的用意。

有關Maze勒索軟體的最新 Mitre ATT&CK攻擊手法與情資, 盡在竣盟科技代理的AlienVault OTX情資平台上:

https://otx.alienvault.com/pulse/5f1b25b617bca397b446385c

更多的內容, 請參考BleepingComputer: https://www.bleepingcomputer.com/news/security/canon-hit-by-maze-ransomware-attack-10tb-data-allegedly-stolen/