汽車零件供應商巨頭日本Denso(電裝公司),疑遭新型勒索軟體Rook入侵, 駭客稱已盜1.1TB數據

12月27日,新型勒索軟體Rook在其揭秘網站宣稱已攻陷日本最大、世界第二大汽車零部件供應商Denso,並竊得1.1TB資料,目前這個操作Rook的背後駭客並未透露更多細節,所以無法得知贖金金額,或駭客給予Denso多久的交涉時間等。

名為 Rook 的新型勒索軟體,前不久才浮出水面,於 11月26日首次在VirusTotal發現其樣本,Rook勒索軟體的背後駭客在其揭秘網站的直白簡介,引起資安界的關注,Rook稱他們迫切需要大量的錢並吹噓一定能滲透目標系統,Rook於 11 月 30 日宣布第一個受害者為一家哈薩克的銀行Zilstroysber Bank。除了加密該組織的檔案外,Rook還竊取了大約1123GB 的數據,用於敲詐勒索。

據了解,Rook勒索軟體是通過第三方滲透框架Cobalt Strike散布的,並使用UPX、VMProtect封裝 ,根據 SentinelOne研究人員表示,也觀察到挾帶了 Rook的網路釣魚電子郵件。一旦Rook在受害者的機器上執行,惡意軟體會嘗試終止所有可能阻礙加密過程的進程。攻擊者還試圖禁用安全產品,以及刪除卷影副本,以防止受害者恢復他們的數據。在加密過程中,勒索軟體會將 .ROOK 的副檔名附加到加密文件中,一旦該過程完成,它會從機器中自我刪除。另外,由於Rook 使用與Babuk勒索軟體相同的 API 調用來檢索每個正在運行的服務的名稱和狀態,並使用相同的函數來終止它們。研究人員相信Rook是來自Babuk勒索軟體的最新產物,據信,是以Babuk原始碼修改而成的新勒索軟體,而該原始碼源於 6月在俄語論壇上洩露的,專家普遍認為之後也會陸續有其他新型勒索軟體的出現,因此企業應準備好有可靠的網路防禦和定期的備份。

Rook勒索軟體的IOCs:

SHA1

104d9e31e34ba8517f701552594f1fc167550964

19ce538b2597da454abf835cff676c28b8eb66f7

36de7997949ac3b93b4b88600

SHA256

f87be226e26e873275bde549539f70210ffe5e3a129448ae807a319cbdcf7789

c2d46d256b8f9490c9599eea11ecef19fde7d4fdd2dea93604cee3cea8e172ac

96f7df1c984c1753289600f7f373f3a98a4f09f82acc1be8ecfd5790763a355b