Ransomware - 竣盟科技

談判破裂美國醫療保健服務業者Henry Schein漢瑞祥兩度遭BlackCat勒索軟體攻擊

Posted on 2023 年 12 月 1 日2023 年 12 月 1 日 by blogadmin

#不到兩個月內遭受了兩次重大勒索軟體攻擊

美國醫療保健巨頭 Henry Schein漢瑞祥面臨自 10 月以來的第二次重大網路攻擊，勒索軟體組織 BlackCat聲稱對攻擊負責。根據BleepingComputer的報道，10 月 15 日，BlackCat（又名Alphv）首次宣布瞄準漢瑞祥。該勒索軟體組織表示，已準備好與這家醫療保健巨頭就被盜數據進行談判。據稱，漢瑞祥拒絕談判，並於 11 月 22 日再次成為攻擊目標。根據漢瑞祥的聲明，先前披露的網路事件的攻擊者已聲稱對此事負責。此外，11 月的勒索軟體攻擊迫使該公司關閉其電子商務平台和部分應用程式。「某些漢瑞祥的應用程式，包括其電子商務平台，目前無法使用。該公司繼續使用其他方式接受訂單並繼續向客戶發貨，」該公司在公告中表示。

在向客戶保證已找出問題原因的同時，漢瑞祥的電子商務平台已為美國客戶恢復。該公司還致力於為加拿大和歐洲的用戶恢復該平台。報道指出，該公司正在透過其他管道接收訂單。Henry Schein 目前在32個國家開展業務，年收入估計為 120 億美元。

然而BlackCat表示，它已從漢瑞祥竊取了35TB 數據，其中部分數據將每天發布。這對漢瑞祥的客戶來說無疑是個壞消息。BlackCat也在聲明中指出，儘管與漢瑞祥進行了談判，「我們還沒有收到任何跡象表明他們願意優先考慮客戶、合作夥伴和員工的安全，更不用說保護自己的網路了。」攻擊者添加了漢瑞祥內部薪資數據的部分內容，還聲稱每天將發布更多數據。

BlackCat 勒索軟體集團於 2021 年 11 月出現，據信是臭名昭著的 DarkSide/BlackMatter 勒索軟體組織的更名。2021 年5 月，該DarkSide以Colonial Pipeline為目標，導致整個美國東海岸的燃料供應中斷，後Colonial Pipeline已向操作DarkSide的駭客支付了約新台幣1.39億元的贖金，引起了全球關注。

Hunters International入侵台灣傳出上市生醫遭殃

Posted on 2023 年 11 月 15 日2023 年 11 月 15 日 by blogadmin

於 2023 年第三季才出現，名為Hunters International的新勒索軟體團隊已獲取了Hive勒索軟體（已遭美國FBI瓦解）的原始碼和基礎設施，並發起了屬於Hunters International的攻擊，最近(11月14日) 竣盟科技發現Hunters International的揭秘網站聲稱攻擊了台灣某大上市生醫集團，將其列入受害者名單，Hunter International稱已盜取約236GB的資料，約超過十萬個檔案，據稱當中檔案的範圍包含客戶投訴數據-資料庫備份檔（HR相關、CRM相關和其他）-財務數據（付款、報告、審計等）-營業單位數據（訂單，產品配方，實驗室測試，包裝等） – 美國子公司數據（網路設置、稽核、供應商、員工數據等）-客戶數據（訂單、混合配方、產品處方、實驗室測試、郵件等。

根據Bitdefender技術解決方案總監 Martin Zugec 在一份報告中表示：“ Hive 團隊的領導層已做出停止運營並將剩餘資產轉移給另一個團隊 Hunters International 的戰略決策。 ”為了保持連續性並避免執法調查，勒索軟體背後的駭客者經常進行品牌重塑、重組或重新定位其業務等變化。這項轉變非常重要，因為不僅是操作知識，連原始碼也被轉移，這毫無疑問為 Hunters International提供了一套完全開發的工具來啟動其惡意操作。上個月下旬，資安研究員@rivitna2率先偵測到 Hunters International 和 Hive 勒索軟體樣本之間的程式碼相似性。另一個資安研究員@BushidoToken還發現了多個程式碼重疊和相似之處，報告兩組碼程式碼之間至少有 60% 的匹配度。資安全產業最初的共識是 Hunters International 是 Hive 的更名版本，這是網路犯罪分子在重大破壞後經常觀察到的做法。

然而，Hunters International在一份不同尋常的聲明中回應了這些猜測，這是該組織迄今為止唯一的聲明。他們宣稱，他們不是 Hive 的更名版本，而是一個獨立的勒索軟體組織，只是從 Hive 獲取了原始碼和基礎設施。

Hunters International的聲明 Photo Credit: Bitdefender

值得指出的是Hunters International與其他勒索軟體組織的區別在於，即其主要重點是資料外洩。這個新組織的勒索軟體攻擊不僅涉及勒索，還涉及提取有價值的資訊。有趣的是，儘管所有受害者的資料都被盜取，迄今為止，資料從未被加密。程式碼分析也顯示 Hunters International 的開發人員簡化了程式碼。Hunters International 試圖透過減少命令列參數、更簡潔的惡意軟體和簡化的加密金鑰儲存方法來簡化其攻擊。不相關的檔案名稱、檔案副檔名或目錄不會被加密，該勒索軟體還專門攻擊備份和復原功能。目標是停用備份並停止復原。這種對勒索軟體概念的全新詮釋將Hunters International繪成一個更像敲詐勒索的組織。

Hunters International的部分入侵指標(Indicator of compromise -IOCs):

hunters33mmcwww7ek7q5ndahul6nmzmrsumfs6aenicbqon6mxfiqyd.onion

hunters55rdxciehoqzwv7vgyv6nt37tbwax2reroyzxhou7my5ejyid.onion

c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e

94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af

竣盟科技建議針對勒索軟體的應對措施：

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階欺敵系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

“轉貼、分享或引用文章內容，請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

索尼再次遭到網路攻擊！Ransomed.vc宣稱已竊取大量數據

Posted on 2023 年 9 月 26 日 by blogadmin

Ransomed.vc 勒索軟體集團宣稱已成功入侵日本跨國企業巨頭索尼集團，這是在這幾個月內針對索尼的第二次入侵事件，先前的入侵是遭受到俄羅斯的 Cl0p 勒索團體利用 MOVEit Transfer 漏洞的攻擊。與典型的勒索形式不同，該集團聲稱由於索尼不遵守他們的要求，因此該集團也不會提出贖金，而是打算以盜取來的數據從別的管道謀取利益。索尼並不是唯一一家在 Ransomed.vc 暗網的日本上市公司。該組織還聲稱對日本電信公司 NTT Docomo 進行了攻擊，並要求支付 101.5 萬美元的贖金，以免洩露被盜資料。

Ransomed.vc 集團自 2023 年以來一直積極動作，主要的勒索方式是威脅受害者支付贖金，否則將公開其機敏數據。該集團已被鏈結到多起知名的網路攻擊事件，包括 2023 年 9 月對夏威夷政府網站的攻擊，並且其攻擊目標橫跨多個產業領域，包括醫療、金融和高科技產業。

Ransomed.vc 在其網站上揭露了部分竊取來的數據樣本，包括來自索尼品管部門的 Power Point 文件、索尼內部登錄頁面的螢幕截圖、以及 Java 文件等6,000個文件。索尼集團由於其全球知名度和全球客戶數量的緣故，一直是網路犯罪集團的首要目標。。2011 年，PlayStation Network 遭遇重大漏洞，約 7,700 萬個註冊帳戶遭到洩露，線上功能完全中斷。 2014 年Sony成為與北韓APT駭客的攻擊目標，導致其推遲了一部有關北韓的電影的上映。這次駭客攻擊也導致了網路問題、內部通訊和秘密曝光，包括財務和電影劇本以及索尼集團高階管理層和員工的薪資以及個人機敏資訊。

Sony事件發生在聯邦調查局（FBI）和聯邦資訊安全局（CISA）發布關於 Snatch Ransomware 威脅的聯合警告後不久，恰恰印證了勒索軟體威脅的不斷升級和普遍性。由於各地法規林立，勒索團體也開始利用法規懲罰來要脅企業就範，因他們往往索取低於法規懲罰金額的贖金。然而支付贖金只是治標不治本的方式，也無法保證犯罪集團會遵守相關約定。因此，企業有必要重新審視並制定全面的網路安全策略，以保護自己免受此類攻擊，莫再為了追尋跟前的利益，而忽略了近在眼前奔馳而來的灰犀牛。

Snatch大活躍，FBI與CISA發出聯合聲明警示各方注意！

Snatch大活躍，FBI與CISA發出聯合聲明警示各方注意！

為美國政府提供IT服務的承包商Maximus，因MOVEit Transfer漏洞導致約1000 萬人的個資外洩

為美國政府提供IT服務的承包商Maximus，因MOVEit Transfer漏洞導致約1000 萬人的個資外洩

IceFire 勒索軟體利用 IBM 漏洞，攻擊基於 Linux 的企業網路

Posted on 2023 年 3 月 10 日 by blogadmin

已知基於Windows的勒索軟體IceFire已將其重點擴展到針對Linux企業網路。操作IceFire的駭客組織現在使用其新的專用加密器積極瞄準全球 Linux 系統。根據 SentinelOne最新的研究，IceFire勒索軟體通過利用 IBM Aspera Faspex 中的一個已知漏洞CVE-2022-47986來攻擊 Linux 伺服器。在3/9 (周四)的一篇網誌中，資安公司SentinelOne 的Alex Delamotte詳細介紹了SentinelLabs 從 2月中旬開始觀察到針對企業的攻擊活動，IceFire勒索軟體一年前出現在勒索軟體領域，在2022年 9 月 IceFire 被NCC Group列為最活躍的威脅組織名單中列前三名。

現在，除了 Windows 系統之外，IceFire 的活動已經擴展到針對 Linux 伺服器。與許多勒索軟體組織一樣，IceFire 似乎正在利用一個在某些企業環境中仍未修補的已知漏洞。SentinelOne 觀察到這些針對全球多個媒體和娛樂組織的攻擊，而且大多數威脅檢測工具似乎無法有效捕獲新的 Linux 版本。SentinelOne 的網誌警告說，IceFire二進製檔案沒有被檢測引擎VirusTotal檢測到。針對 Linux 的勒索軟體二進製檔案是一個 2.18 MB 的 64 位 ELF 檔案，它安裝在運行易受攻擊版本的 IBM Aspera Faspex 檔案伺服器軟體的 CentOS 主機上。它還能夠避免加密某些路徑，以便受感染的機器繼續運行。研究員Delamotte指出，目前的觀察表明，攻擊者利用 CVE-2022-47986 部署了勒索軟體，CVE-2022-47986 是 IBM Aspera Faspex 檔案共享軟體中的一個反序列化漏洞。

IBM 在本週更新的安全公告中詳細介紹了該漏洞，該漏洞已於 1 月份修補好。雖然 CVE-2022-47986 最初獲得的CVSS評分為 8.1，但它在 2 月 17 日更新為 9.8（滿分 10 分）。如果被利用，該漏洞可允許遠端攻擊者在系統上執行任程式碼。

另外，CISA 於 2 月 21 日將該漏洞添加到其已知的其已知濫用資安漏洞(Known Exploited Vulnerabilities)清單中，並下令聯邦機構在必須在 3 月 14 日之前完成修補。該漏洞於 2023 年 2 月 17 日正式發布

然而，IceFire 攻擊始於 2 月中旬。Delamotte表示，與 Windows 相比Linux 更難部署勒索軟體——尤其是大規模部署。許多 Linux 系統都是伺服器：典型的感染媒介，如網路釣魚或路過式下載(Drive by download)，效果較差。為了克服這個問題，駭客轉向利用應用程式漏洞，正如 IceFire 的背後駭客員通過 IBM Aspera 漏洞部署有效載荷所展示的那樣。一旦駭客獲得存取權限，IceFire 勒索存取就會針對用戶和共享目錄進行加密。由於這些是檔案系統未受保護的部分，Delamotte 指出它們不需要提升權限即可寫入或修改。Delamotte 進一步說，檔案共享接收持續的連接——尤其是來自組織互聯網之外的系統——這使它們成為勒索軟體攻擊者非常吸引的目標。IceFire 勒索軟體在之前只專注於攻擊 Windows 系統之後擴大了 Linux 目標，這是一個戰略轉變，與近年來也開始攻擊 Linux 系統的其他勒索軟體組織手法一致。

IceFire勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA-1: b676c38d5c309b64ab98c2cd82044891134a9973

BlackCat勒索軟體集團的最新敲詐技倆，在明網上發布數據，向受害者施壓!

Posted on 2022 年 6 月 17 日2022 年 6 月 17 日 by blogadmin

ALPHV 勒索軟體集團，又名BlackCat，最近在其揭秘網站上宣布，入侵了美國俄勒岡州的一家豪華度假村The Allison，並通過建立一個專門的明網網站，允許受害者的客戶和員工搜尋他們在攻擊中被盜的數據，將敲詐勒索提升到了一個新的層次。在互聯網上發布數據，使搜尋引擎可搜尋到數據，增加了對受害者的潛在影響，作為這次攻擊的一部分，BlackCat聲稱竊取了 1500 名員工和2,500 多客人的資料，約112GB數據。

Alphv has created a @haveibeenpwned-like site on the clearnet where the employees and customers of a victim organization can check if their personal info. has been compromised. 1/3 pic.twitter.com/95BWwRPvhD
— Brett Callow (@BrettCallow) June 14, 2022

網站頁面頂部有兩個Check yourself(檢查自己) 的按鈕，一個用於員工，一個用於酒店客人。

資全公司 Emsisoft 的威脅分析師 Brett Callow 稱 ALPHV/BlackCat的行動是一種狡猾的策略，無疑通過這種策略增加他們從攻擊中獲利的可能性。如果受害公司客戶和員工知道與有關的資料以這種方式公開，受害公司可能更傾向於支付贖金以防止並避免受到集體訴訟的風險。Callow說，過去許多勒索軟體攻擊的受害者並不擔心他們的數據在Tor網路的揭秘網站上發布，他們認為大眾不容易接觸到暗網。

但現在使用該網站，員工、客戶或任何人都可以查看有關酒店客人及其住宿的資料或員工的個人數據。雖然客戶數據僅包含姓名、到達日期和住宿費用，但員工數據包含機敏的資料，例如姓名、社會安全號碼、出生日期、電話號碼和電子郵件地址等內容。

BlackCat建立這個網站的目的很明確，就是嚇唬員工和客人，要求酒店從網上刪除他們的數據，而這只能通過支付贖金來完成。

BlackCat勒索軟體至少從 2021 年 12 月開始活躍，是第一個用 Rust語言編寫的專業勒索軟體，這樣的選擇使他們能夠規避來自傳統安全解決方案的檢測。此外，這使得他們的惡意軟體能跨平台，可在 Windows 和任何 *NIX 系統上自由啟動。根據美國聯邦調查局 (FBI)發布的警報，自 2021 年 11 月首次發現 BlackCat 勒索軟體攻擊以來，截至 2022 年 3 月，全球至少有 60 個實體受害。許多資安專家認為，ALPHV/BlackCat是另一個勒索軟體組織Darkside（也稱為 BlackMatter）的更名，該組織在2021 年5月攻擊了美油管Colonial Pipeline，關閉了美國東岸整個輸送網路，最後Colonial Pipeline向操作DarkSide的駭客支付了約新台幣1.39億元的贖金。

有關BlackCat勒索軟體的”部分”入侵指標(Indicator of compromise -IOCs):

Domain:

sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion

id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion

SHA 256:

f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6

f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89

f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb