繼哥斯大黎加因Conti的攻擊全國進入緊急狀態後,另一拉丁美洲政府”秘魯” 也遭Conti的毒手!

操作Conti 勒索軟體背後駭客聲稱入侵了秘魯國家中央情報局( Dirección General de Inteligencia -DIGMIN) 並將其列為受害者,有關資訊也同時發布在Conti的揭秘網站Conti Leaks上,國家情報局DIGMIN是秘魯首屈一指的情報機構。該機構負責國家、軍事和警察情報以及反情報工作,Conti目前已公開了聲稱從情報局竊取得來9.41 GB 數據,作為入侵證據。

目前仍然無法存取秘魯國家情報局的網站

根據觀察,操作Conti 勒索軟體的背後駭客在其揭秘網站聲稱秘魯拒絕與他們溝通,並表示已在秘魯政府幾乎所有的國家機構網路中安裝了後門,警告稱如果秘魯當局再不透過情報局跟他們聯繫,將會像哥斯達黎加一樣有嚴重的後果,然而秘魯政府沒有就此發表任何聲明。值得一提的是,在Conti攻擊秘魯的事件中,國家情報局特別指出,它們網路上的數據沒有被加密。駭客組織對情報機構的攻擊可能導致包括財務機密、機密數據和文件和安全策略的外洩露,並對國家安全構成風險。

Conti於4月下旬入侵了哥斯達黎加多個政府系統,癱瘓海關及稅務系統,獲得對大約800台伺服器的存取權,其中近 1TB 的數據已被洩露,目前有資安專家已針對一小部分外洩數據進行初步分析,結果顯示原始碼和SQL數據庫確實來自哥國政府網站。另外Conti的攻擊影響了其他政府部門,包括財政部、科創部、勞動部與社會保障部、社會發展與家庭津貼基金、國家氣象研究所、哥斯達黎加社會保障基金、阿拉胡埃拉市各大學主校等,使哥國總統宣布國家緊急狀態。

上週,美國國務院懸賞高達 1500 萬美元的獎金,以重金徵求識別和定位 Conti 勒索軟體組織的領導和同謀的資訊。該獎勵是由國務院的跨國有組織犯罪獎勵計劃 (Transnational Organized Crime Rewards Program,TOCRP) 提供的。美國當局將提供1000萬美元給提供資訊協助逮捕Conti首腦的線民,同時額外提供 500萬美元給提供資訊協助逮捕Conti其他成員的資訊。

汽車零件製造商遭勒索攻擊又添一樁,三桜工業遭Conti毒手

針對汽車行業供應鏈的網路攻擊,正在接二連三地發生,不久前,如豐田汽車的關鍵供應商,汽車零件大廠電裝公司(DENSO Corporation) 和另一零部件供應商小島工業相繼遭攻擊後,於昨天(3/25) 根據NHK的報導,總部位於東京的汽車零部件製造商三桜工業(Sanoh Industrial Co., Ltd)的美國子公司(Sanoh America)於23日證實在本月12日發現了勒索軟體攻擊並收到贖金信。Sanoh America在檢測到攻擊時,就已經斷開互聯網連接,以防止攻擊散播。

“Sanoh America”主要為美國生產汽車剎車管和燃油管,被攻擊後切斷互聯網連接,然後在採取臨時措施恢復備份後,恢復了生產。

根據Conti揭秘網站,他們宣稱成功駭入Sanoh America ,並開始發布從Sanoh America竊取得來大約 900MB的數據,當中包含一些預算管理和會議記錄的檔案。

另外據觀察,Cuba勒索軟體的揭秘網站,聲稱攻擊了現代汽車集團旗下位於美國喬治亞州的汽車零部件製造商現代派沃特(Hyundai Powertech),並外洩其財務檔案、員工的銀行資料、稅務檔案、薪酬資料和原始碼。

關於汽車產業的勒索軟體攻擊,層出不窮,竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

外媒取得Conti勒索軟體向台達電發出的ransom note,Conti再度攻擊台灣上市企業

Conti向台達電發出的ransom note(勒索信)檔案 Photo Credit: BleepingComputer

事源於6天前(1月22日)台達電發布重大訊息,證實遭駭客網路攻擊,台達電指出在21 日早上 6 點左右,公司偵測到伺服器遭受海外駭客攻擊,自偵測部份資訊系統遭受駭客網路攻擊,也立即啟動資安應變及防禦機制,同時協調外部資安專業公司共同處置,進行復原作業,並稱受影響之資訊系統陸續回復運作中,評估對營運無重大影響。就於攻擊手法、入侵指標、實際受損程度或是否被勒索攻擊等,無法完全從重訊得知。

然而,據觀察台達電官網在駭攻之後原本無法開啟,現顯示為維護中的狀態,同時發現已使用備用網域,重新上線。

台達電官網https://www.deltaww.com
台達電備用網域(https://www.deltapowersolutions.com)

同時台達電旗下的被動元件子公司乾坤科技的官網(https://www.cyntec.com) 也無法連上。

乾坤科技的官網

今綜合國內國外報導,台達電遭駭客攻擊事件的幕後黑手為Conti勒索軟體,Conti聲稱已經加密了台達電網路中共65,000台設備中的 1,500 台伺服器和 12,000 台電腦。Conti要求台達電支付 1500 萬美元(約新台幣4.12億元)的贖金來換取解密工具,還承諾如果台達電願意迅速付款,將給予折扣並不會公開從台達電網路竊取到的檔案,目前無法得知被竊檔案數量。在撰寫本文時,Conti勒索軟體在暗網的揭秘網站(Conti News)上,並沒有屬於台達電(Delta Electronics)為受害者的頁面,這可意味著雙方仍在就攻擊事件和贖金進行談判。

Conti在台達電的攻擊中有其特定的模式,據了解是以利用滲透工具Cobalt Strike搭配Atera來實現持久性,在此次事件中,已流出部署在台達電屬於Conti勒索軟體樣本的Hash值:

5ace33358a8b11ae52050d02d2d6705f04bd47a27c6c6e28ef65028bbfaf5da9

Conti勒索軟體於2020 年首次出現,在過去也曾攻擊過台灣上市企業研華科技,並入侵了多過國外大型企業及機構,如印尼央行愛爾蘭衛生健康署、遊戲公司卡普空Capcom、VOIP 硬體和軟體製造商Sangoma Technologies以及佛羅里達州和德州的醫院等。

印尼中央銀行-Bank Indonesia證實遭到勒索軟體攻擊,16台電腦遭殃,目前已有13.88 GB數據被駭客掌握,幕後黑手指向Conti

印尼中央銀行-印度尼西亞銀行(Bank Indonesia-BI)今天證實,上個月勒索軟體攻擊襲擊了其網路。據 CNN Indonesia報導,在此次事件中,攻擊者竊取了屬於印尼銀行員工的“非關鍵數據”,然後在該銀行網路上的16個系統上部署了勒索軟體有效負載 ,BI發言人 Erwin Haryono表示,我們的網路遭到了襲擊,但到目前為止,我們採取了預期措施,最重要的是Bank Indonesia的公共服務沒有受到影響,此次攻擊的風險已得到緩解,正從網路攻擊中復原。

印尼銀行


雖然BI發言人 Erwin Haryono 沒有將這次攻擊歸咎於特定的勒索軟體,但Conti在其揭秘網站聲稱成功攻擊了BI並從BI網路竊取了17034份檔案,如果BI不付贖金,該勒索軟體組織將外洩13.88 GB 的數據。

Conti是一項勒索軟體即服務 (Ransomware as a Service-RaaS)操作,與Wizard Spider俄羅斯網路犯罪組織有關聯,該組織也以其他臭名昭著的惡意軟體而聞名,包括 Ryuk、TrickBot和BazarLoader。在今天FBI發布的新Flash諮詢公告中,FBI 已正式將 Diavol勒索軟體與Wizard Spider組織聯繫起來,表明Wizard Spider在攻擊中會利用Conti和Diavol這兩支勒索軟體。據了解,研究人員在2021年6月初的同一勒索軟體攻擊中看到了Diavol和Conti勒索軟體有效負載部署在網路上。在分析了兩個勒索軟體樣本後,發現了相似之處,例如它們使用異步I / O操作進行檔案加密,以及為相同功能使用幾乎一致的命令列參數,由此可見,Wizard Spider犯罪組織的發展及動態是值得注意的。

Conti以攻擊知名及企業組織而聞名,在過去其受害者包括台灣研華科技,日本JVC KENWOOD愛爾蘭衛生健康署,遊戲公司卡普空Capcom

有關Conti勒索軟體的入侵指標(Indicator of compromise -IOCs):

Domain:

sammitng.com

SHA 256:

c867fbc963c6975918f6744e196e0cc648777c7252ca740254e6eed9918c6fd1

bea4dcabc10ad8b7ef79579a1c511ec42cb98ddd1cf607a5a5ee369b28aa144b

a290ce75c6c6b37af077b72dc9c2c347a2eede4fafa6551387fa8469539409c7

63de40c7382bbfe7639f51262544a3a62d0270d259e3423e24415c370dd77a60

9d63a34f83588e208cbd877ba4934d411d5273f64c98a43e56f8e7a45078275d

5c649554d9ea77e98dbf0df0d4010255075c6c5324fc7526c667a180c06a050a

37b264e165e139c3071eb1d4f9594811f6b983d8f4b7ef1fe56ebf3d1f35ac89

31f8ad3f818ef0635109cecfff8f2e03f5e47a9a62a2fe548bc10393e3318d4f

24f692b4ee982a145abf12c5c99079cfbc39e40bd64a3c07defaf36c7f75c7a9

SHA 1:

e115f1be72f730bf3a7b7d9e2ec9e4b7b7a4b5e7

c07dbec39149a3bb20a54b9eeb2e453a7c5bdd2f

856366815cac27775b944a236ad3a6f523a4136d

bf92ce7c065568c1b893c1ababa04eeffedadcca

7ed8d5a2e09d48ccb84d790abfa7a1556b9d4990

6a31edc3e73957bb25e51abfd4efb4fd5eb51dbc

4ff45fb8003ab1075bdbbc9d044b7c31374f3cdb

092ac6f8d072c4cf045e35a839d5bb8f1360f1ae

MD5

e35df3e00ca4ef31d42b34bebaa2f86e

b656845e2755920db24364b42ce2ea18

abbbd0e30c4e66ad59518b9460dbcdfd

72296b01b37d6baefaecbc5bdecfadb6

29154f55df2171ccfe6316a77496d451

215e0accdf538d48a8a7bf79009e8f9b

a0e9f5d64349fb13191bc781f81f42e1

Yara:

ca8476a53823a9644533a81cb37c52d4eb22750e

901a241c9bbd91aadda3ee7ed4cdc96eaa27d03a

d6a13a17c05f84c20b699785efba7b7af4b8cb7f

e458fa0d1dfe88ada943c9c77c7a17c938f30a2b

IPv4:

82.118.21.1

185.141.63.120

162.244.80.235

162.244.83.216

CVE:

CVE-2021-34527

CVE-2020-1472

1月24日更新:

最新消息,操作Conti的駭客組織持續公開印尼央行的內部資料,由原先的13.88 GB增加到74.82GB, 根據資安業者DarkTracker稱,遭入侵電腦從原本的16台增加到237台。

日本跨國電子企業JVC KENWOOD遭Conti入侵, 1.5TB 數據被竊,並遭勒索700 萬美元

9 月 29 日,日本JVC KENWOOD透露其歐洲公司受到網路攻擊,伺服器經未授權存取。據新聞稿,JVC KENWOOD在9月22日發現集團在歐洲的一些銷售公司出現無法收發電子郵件的問題,經調查,發現伺服器遭被外部存取,影響了JVC KENWOOD集團旗下荷蘭、比利時和英國的公司。據信,員工和業務合作夥伴的電話號碼和電子郵件地址等個人資料恐遭外洩。JVCKenwood 是一家總部位於日本的跨國電子公司,擁有 16,956 名員工,2021 年的收入為 24.5 億美元。該公司以其 JVC、Kenwood 和 Victor 品牌而聞名,這些品牌生產汽車和家庭音頻設備、醫療保健和無線電設備等。

今天,據外媒BleepingComputer的報導,一位消息人士分享了這次針對 JVC KENWOOD攻擊中來自CONTI 勒索軟體的勒索信。另外在一次談判中,操作Conti的駭客告訴JVC KENWOOD,他們已竊取了 1.5 TB 的檔案,並要求 700 萬美元贖金,以換取不公佈數據並提供解密工具。同時,攻擊者分享了一份 JVCKenwood 員工的掃描護照PDF檔案作為證明,但自提供證明以來,JVCKenwood 代表沒有進一步聯繫,表明該公司可能不會支付贖金。

據日本媒體Security Next報導,JVC KENWOOD對於受影響的系統,啟動了一個新的臨時系統並恢復了操作。

據信Conti勒索軟體是由 TrickBot的駭客組織運營,通常在網路被TrickBot、BazarBackdoor 和 Anchor 木馬入侵後安裝。過去曾遭Conti入侵的公司有研華愛爾蘭衛生健康署蘇格蘭環境保護局新西蘭五間醫院等。八月初,Conti的會員(Affiliate)因分到的贖金太少,心生不滿的在地下駭客論壇XSS上載了Conti勒索軟體培訓會員及用於攻擊的手冊,使執法部門和研究人員能深入了解他們的策略,但也沒有影響Conti的攻擊。在上週,美國FBI、CISA 和 NSA 共同發佈針對Conti勒索軟體的攻擊持續激增的警報。