BlackCat對Ultra Intelligence & Communications的攻擊 造成瑞士空軍大量敏感資訊外洩

一家為全球國防公司提供通訊技術的美國安全公司Ultra Intelligence & Communications(簡稱ULTRA)成為勒索軟體攻擊的受害者,ULTRA是一家全球領先的科技公司,總部位於英國。該公司提供先進的情報、通訊和安全技術解決方案,服務的客戶包括美國國防部、聯邦調查局(FBI)、緝毒局、北約、美國電話電報公司、瑞士聯邦國防部和國防承包商RUAG 等,這一廣泛的客戶群突顯了此次外洩事件對全球潛在的影響。

據稱在攻擊事件發生後,瑞士聯邦國防部證實瑞士空軍受到了攻擊的影響並確認有資料外洩,瑞士當局隨即對此事件展開了調查。

根據瑞士廣播電視台 (SRF) 報道,駭客竊取了美國著名國防公司ULTRA的數萬份文件,大約 30 GB 的部分敏感和機密瑞士空軍文件已上傳到暗網,可供公眾存取。

Photo Credit: https://securityaffairs.com/

DDPS 對暗網外洩的回應

在這一重大事件發生後,瑞士聯邦國防部民防及體育部(Federal Department of Defense, Civil Protection and Sport-DDPS) 一直在積極應對這一情況。發言人告訴 Keystone-SDA 通訊社,瑞士武裝部隊和國防部立即收到了有關網路攻擊的通知。DDPS 認為,瑞士武裝部隊的作業系統並未受到此次惡意軟體攻擊的影響。

暗網上外洩的價值數百萬美元的合約

外洩的資料中包括 DDPS 和 Ultra 之間價值近 500 萬美元的重要合約等文件。該合約對於瑞士空軍的加密通訊技術至關重要。

此外,在暗網上還發現了與這些交易相關的電子郵件通訊和付款收據。

對暗網資料外洩的持續調查

雖然 DDPS 發言人提供的細節有限,但他們承認瑞士武裝部與Ultra 公司之間存在業務關係。迄今為止,外洩的數據主要類型是商業數據,但對事件全面範圍的調查仍在進行中。

BlackCat聲稱對資料被盜負責

BlackCat勒索軟體聲稱對這次攻擊負責,據報導該攻擊發生在 2023 年 12 月底。BlackCat於2021年11月中旬首次被Malwarehunterteam研究人員揭露,是第一個基於RUST語言編寫的專業勒索軟體系列,並因其高度客製化和個人化的攻擊而迅速氾濫。BlackCat攻擊過知名企業包括高梅國際酒店集團(MGM Resorts International)、Bandai Namco(萬代南夢宮)、台灣上市不銹鋼Henry Schein漢瑞祥等等。網路安全專家認為BlackCat起源於俄羅斯,是被稱為 BlackMatter 的勒索軟體組織的改名(Rebrand),而BlackMatter又是 DarkSide 的改名,該組織因2021年攻擊美國美運油供應商Colonial Pipeline而臭名昭著。2023 年 12 月FBI查封BlackCat的線上基礎設施,瓦解多個BlackCat經營的網站,然而這次針對ULTRA的入侵並盜取其商業客戶的機密資料攻擊證實BlackCat勒索軟體已成功另起爐灶。

瑞士聯邦數據網路攻擊的最新歷史

此事件標誌著過去六個月內針對瑞士聯邦數據的第三次重大網路攻擊。先前的事件涉及針對瑞士公司 XplainConcevis 的勒索軟體攻擊,這兩家公司都與 DDPS 和其他聯邦組織有聯繫。

總而言之,最近對 Ultra 的網路攻擊導致瑞士空軍資料在暗網上未經授權發布,這清楚地提醒人們國家安全基礎設施面臨持續的網路威脅。正在進行的調查強調了加強網路安全措施以保護敏感國防資訊的重要性。

談判破裂 美國醫療保健服務業者Henry Schein漢瑞祥兩度遭BlackCat勒索軟體攻擊

#不到兩個月內遭受了兩次重大勒索軟體攻擊

Photo Credit : Gridinsoft

美國醫療保健巨頭 Henry Schein漢瑞祥面臨自 10 月以來的第二次重大網路攻擊,勒索軟體組織 BlackCat聲稱對攻擊負責。根據BleepingComputer的報道,10 月 15 日,BlackCat(又名Alphv)首次宣布瞄準漢瑞祥。該勒索軟體組織表示,已準備好與這家醫療保健巨頭就被盜數據進行談判。據稱,漢瑞祥拒絕談判,並於 11 月 22 日再次成為攻擊目標。根據漢瑞祥的聲明,先前披露的網路事件的攻擊者已聲稱對此事負責。此外,11 月的勒索軟體攻擊迫使該公司關閉其電子商務平台和部分應用程式。「某些漢瑞祥的應用程式,包括其電子商務平台,目前無法使用。該公司繼續使用其他方式接受訂單並繼續向客戶發貨,」該公司在公告中表示。

關於漢瑞祥勒遭索軟體攻擊的聲明

在向客戶保證已找出問題原因的同時,漢瑞祥的電子商務平台已為美國客戶恢復。該公司還致力於為加拿大和歐洲的用戶恢復該平台。報道指出,該公司正在透過其他管道接收訂單。Henry Schein 目前在32個國家開展業務,年收入估計為 120 億美元。

然而BlackCat表示,它已從漢瑞祥竊取了35TB 數據,其中部分數據將每天發布。這對漢瑞祥的客戶來說無疑是個壞消息。BlackCat也在聲明中指出,儘管與漢瑞祥進行了談判,「我們還沒有收到任何跡象表明他們願意優先考慮客戶、合作夥伴和員工的安全,更不用說保護自己的網路了。 」攻擊者添加了漢瑞祥內部薪資數據的部分內容,還聲稱每天將發布更多數據。

BlackCat 勒索軟體集團於 2021 年 11 月出現,據信是臭名昭著的 DarkSide/BlackMatter 勒索軟體組織的更名。2021 年5 月,該DarkSide以Colonial Pipeline為目標,導致整個美國東海岸的燃料供應中斷,後Colonial Pipeline已向操作DarkSide的駭客支付了約新台幣1.39億元的贖金,引起了全球關注。

首度出現遭ALPHV勒索軟體攻擊的台灣企業,上市不銹鋼公司疑遭殃!

根據APLHV勒索軟體(又稱BlackCat)的揭秘網站,竣盟科技發現某一家台灣上市不銹鋼大廠被列入受害者,該跨國企業總部位於南部,為不鏽鋼生產商與通路商,產品以外銷為主,大部份自製品及買賣產品的100%銷往美國子公司,ALPHV宣稱已盜取該企業的大量數據,當中包含內部文件、發票、個人資料、NDA、合約等,在張貼的告示中,ALPHV稱該企業的工廠在攻擊發生後,設備遇到問題,目前尚不清楚這說法是否屬實。

ALPHA/BlackCat被認為是 Darkside 和 BlackMatter 的繼任者,是最複雜、技術最先進的勒軟體即服務 (RaaS) 操作之一,ALPHV是第一支以Rust語言編寫的勒索軟體,相比C 或C++ 語言,用Rust 開發的程式更難找到常見的編程漏洞, Rust也可以更快速和穩定,允許更好的記憶體管理,並且能夠逃避現有的檢測功能。BlackCat勒索軟體允許高度可配置,它包括一個 JSON 檔案,允許用戶在四種不同的加密算法之間進行選擇,自定訂贖金記錄,指定要忽略哪些檔案、檔案夾和副檔名,並指定應該終止哪些服務和進程,以確保檔案被正確加密。BlackCat 還可以配置使用網域憑證,這將更好地使其傳播到其他系統。

另外,ALPHV採用“四重勒索”模式:

  1. 不僅會加密數據、感染網路和系統,還會通過其他的工具進行竊取敏感數據,以被盜數據勒索受害者支付贖金
  2. 在其揭秘網站上列出了部分受害者,如果不支付贖金,攻擊者將在揭秘網站上洩露盜取得來的數據。
  3. 如果受害者沒有在最後期限支付贖金,APLHV還會進行分散式阻斷服務攻擊(DDoS)。
  4. 騷擾受害者的客戶、合作夥伴和員工。

ALPHV勒索軟體在 2022 年初聲名狼藉,針對歐洲的燃料物流和運輸服務運營商以及美國的教育機構進行了一系列大膽的攻擊。

ALPHV自 2021 年 11 月浮出水面以來,一直持續使用名為Exmatter的工具,但於 2022 年 8 月進行了大量更新,使Exmatter更成熟,並具有以下變化:

*洩露的檔案類型為:PDF、DOC、DOCX、XLS、PNG、JPG、JPEG、TXT、BMP、RDP、SQL、MSG、PST、ZIP、RTF、IPT 和 DWG。

*添加 FTP 作為除 SFTP 和 WebDav 之外的滲透選項。

*添加“橡皮擦”功能,可以選擇損壞已處理的檔案

*如果在非有效環境中執行,添加“自毀”配置選項以退出並刪除自身

*刪除對 Socks5 的支援

*添加 GPO 部署選項

除了擴展的功能之外,最新的 Exmatter 版本還進行了大量程式碼重構,以更隱蔽的方式實現現有功能以逃避檢測,ALPHV的操作不斷演變,絕對是值得持續我們關注的勒索軟體。

根據資安公司 Resecurity,ALPHV勒索軟體集團將贖金要求提高到 2 至 250 萬美元,受害者通常會被要求在一周內付款,然而,贖金的增加並不令人意外,根據 Resecurity 的數據,2021 年上半年的平均贖金支付額達到 570,000 美元,到 2022 年幾乎翻了一倍,儘管主管機關有宣導不支付的贖金,但仍有約一半的受害者確實支付了恢復數據的費用。

有關ALPHV/BlackCat勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

Domain:

sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion

id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion

SHA 256:

f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6

f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89

f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日本遊戲大廠Bandai Namco(萬代南夢宮)疑遭駭,傳出幕後的黑手是它–BlackCat勒索軟體

萬代南夢宮(Bandai Namco)是日本的大型電玩、手機與家用電子遊戲發行商,旗下擁有多款熱門遊戲的 IP與發行權,包含《艾爾登法環》、《航海王》、《火影忍者》、《七龍珠》等。近年來,大型電玩遊戲大廠遭網路攻擊變得普遍,在 2020 年卡普空(Capcom)Ranger Locker勒索軟體加密,被盜1TB 數據、法國電玩商Ubisoft(育碧)和德國Crytek遭 Egregor勒索軟體攻擊、日本特庫摩(Koei Tecmo) 遭駭,駭客將盜來的數據免費釋出。隨後 在2021 年 CD Projekt Red 遭駭客攻擊,內部數據流至網上;同年 美商藝電(EA)也遭到攻擊,780GB的遊戲原始碼及除錯工具被竊取等資安事件。

目前萬代南夢宮似乎是BlackCat勒索軟體的最新受害者,根據追踪惡意軟體的資安團隊vx-underground,勒索軟體集團BlackCat(也稱為ALPHV )已宣稱成功入侵遊戲發行商Bandai Namco。然而,BlackCat還沒釋出任何被盜數據的樣本,萬代南夢宮官方沒有出面證實消息或發表任何評論。

BlackCat勒索軟體至少從 2021 年 12 月開始活躍,是第一個以Rust程式語言撰寫的勒索軟體,這樣的選擇使他們能夠規避來自傳統安全解決方案的檢測。此外,這使得他們的惡意軟體能跨平台,可在 Windows 和任何 *NIX 系統上自由啟動。根據美國聯邦調查局 (FBI)發布的緊急警報,自 2021 年 11 月首次發現 BlackCat 勒索軟體攻擊以來,截至 2022 年 3 月,全球至少有 60 個實體受害。BlackCat發動過的重大攻擊,包含 1 月份攻擊了德國燃料公司 OilTanking GmbH ,引起大約 200 個加油站的供應中斷,以及 2 月份攻擊瑞士航空企業Swissport 導致服務中斷、航班延誤和敏感數據洩露。最近,勒索軟體集團聲稱對美國佛羅里達國際大學的攻擊負責,竊取了 1.2TB數據。

勒索軟體的操作不斷演變,幾週前,LockBit 勒索軟體組織宣布漏洞賞金(Bug Bounty)計劃,視乎漏洞嚴重性,提供從1000 美元到100 萬美元不等的獎金。根據vx-underground,最近BlackCat建立了一個名為Alphv Collections的可搜索外洩數據的資料庫,使其他駭客也能有機會充分運用這些竊得的資料,值得一提的是, BlackCat 在6月中通過建立一個專門的明網網站,允許受害者的客戶和員工搜尋他們在攻擊中被盜的數據。

BlackCat(Alphv) 的公告

有關BlackCat勒索軟體的”部分”入侵指標(Indicator of compromise -IOCs):

Domain:

sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion

id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion

SHA 256:

f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6

f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89

f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

BlackCat勒索軟體集團的最新敲詐技倆,在明網上發布數據,向受害者施壓!

ALPHV 勒索軟體集團,又名BlackCat,最近在其揭秘網站上宣布,入侵了美國俄勒岡州的一家豪華度假村The Allison,並通過建立一個專門的明網網站,允許受害者的客戶和員工搜尋他們在攻擊中被盜的數據,將敲詐勒索提升到了一個新的層次。在互聯網上發布數據,使搜尋引擎可搜尋到數據,增加了對受害者的潛在影響,作為這次攻擊的一部分,BlackCat聲稱竊取了 1500 名員工和2,500 多客人的資料,約112GB數據。

網站頁面頂部有兩個Check yourself(檢查自己) 的按鈕,一個用於員工,一個用於酒店客人。

截圖: BlackCat為Allison Resort建立的外洩數據的網站

資全公司 Emsisoft 的威脅分析師 Brett Callow 稱 ALPHV/BlackCat的行動是一種狡猾策略,無疑通過這種策略增加他們從攻擊中獲利的可能性。如果受害公司客戶和員工知道與有關的資料以這種方式公開,受害公司可能更傾向於支付贖金以防止並避免受到集體訴訟的風險。Callow說,過去許多勒索軟體攻擊的受害者並不擔心他們的數據在Tor網路的揭秘網站上發布,他們認為大眾不容易接觸到暗網。

但現在使用該網站,員工、客戶或任何人都可以查看有關酒店客人及其住宿的資料或員工的個人數據。雖然客戶數據僅包含姓名、到達日期和住宿費用,但員工數據包含機敏的資料,例如姓名、社會安全號碼、出生日期、電話號碼和電子郵件地址等內容。

BlackCat建立這個網站的目的很明確,就是嚇唬員工和客人,要求酒店從網上刪除他們的數據,而這只能通過支付贖金來完成。

BlackCat勒索軟體至少從 2021 年 12 月開始活躍,是第一個用 Rust語言編寫的專業勒索軟體,這樣的選擇使他們能夠規避來自傳統安全解決方案的檢測。此外,這使得他們的惡意軟體能跨平台,可在 Windows 和任何 *NIX 系統上自由啟動。根據美國聯邦調查局 (FBI)發布的警報,自 2021 年 11 月首次發現 BlackCat 勒索軟體攻擊以來,截至 2022 年 3 月,全球至少有 60 個實體受害。許多資安專家認為,ALPHV/BlackCat是另一個勒索軟體組織Darkside(也稱為 BlackMatter)的更名,該組織在2021 年5月攻擊了美油管Colonial Pipeline,關閉了美國東岸整個輸送網路,最後Colonial Pipeline向操作DarkSide的駭客支付了約新台幣1.39億元的贖金。

有關BlackCat勒索軟體的”部分”入侵指標(Indicator of compromise -IOCs):

Domain:

sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd.onion

id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad.onion

SHA 256:

f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6

f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89

f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb