美國聯邦調查局(FBI)發布了對私人企業的通知,警告Egregor勒索軟體積極瞄準私人企業進行攻擊。

2021年1月7日-FBI敦促所有私人企業警惕Egregor勒索軟體背後駭客組織的潛在惡意活動。FBI的最新警報說,自9月該組織成立以來,Egregor已在全球入侵了150間企業。已知的受害者名單包括   Cencosud,  Crytek,  KmartUbisoftBarnes and Noble和大溫哥華運輸公司TransLink等。

美國情報與安全服務局(US intelligence and security service)說:“由於部署Egregor勒索軟體涉及的駭客眾多,因此部署Egregor時所採用的戰術、技術和流程(TTP可能會截然不同,給防禦和緩解帶來了重大挑戰。”

“ Egregor勒索軟體利用多種機制來破壞企業網路,包括針對與企業網路或設備共享存取權限的企業網路和員工個人帳戶。” 一旦獲得對目標網路的存取權限,駭客便會使用Cobalt Strike,Qakbot / Qbot,Advanced IP Scanner和AdFind來提升特權並橫向移動,使用Rclone和7zip等工具來竊取數據。

FBI官員表示:“一旦受害公司的網路遭到破壞,Egregor的背後駭客就會竊取數據並加密網路上的檔案。” “勒索軟體在電腦上留下勒索信,指示受害者通過線上聊天與駭客進行通信。”FBI補充說:“Egregor經常利用受害者的印表機來列印勒索信。” “如果受害者拒絕付款,Egregor會將受害者數據發佈到公共站點上。”

FBI還分享了一系列建議的緩解措施,這些措施應有助於抵禦Egregor的攻擊:

*離線備份重要數據。

*確保關鍵數據的副本位於雲中或外部硬碟或存儲設備上。

*保護您的備份,並確保無法從數據所在的系統存取該數據以進行修改或刪除。

*在所有主機上安裝並定期更新防病毒或防惡意軟體。

*僅使用安全網路,避免使用公共Wi-Fi網路。

*使用雙因素認證,請勿點擊電子郵件中未經請求的附件或連結。

*優先修補面向公眾的遠端訪問產品和應用程式的修補,包括最近的RDP漏洞(CVE-2020-0609,CVE-2020-0610,CVE-2020-16896,CVE-2019-1489,CVE-2019-1225,CVE-2019 -1224,CVE-2019-1108)。

*查看可疑的.bat和.dll檔案,具有偵察數據的檔案(例如.log檔案)和滲透工具。

*使用多因素驗證或強密碼,通過限制訪問來安全地配置RDP。

有關Egregor勒索軟體的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fc94a8028a7e6be7487aea3

https://otx.alienvault.com/pulse/5fbed263fa9e196c722eff7a

https://otx.alienvault.com/pulse/5fa1b75f7136524dbbb229a6

*****竣盟科技快報歡迎轉載,但請註明出處

大溫哥華交通運輸公司TransLink警告,駭客在網路攻擊中非法存取了員工的銀行個人資訊,敦促員工使用信用卡監控服務!

加拿大的大溫哥華公共交通TransLink的員工被告知,在12月初的網路攻擊中駭客存取了個人銀行資訊和其他檔案,建議員工使用信用卡監控服務。TransLink於2020年12月1日宣布遭網路攻擊後,交通網路的電腦系統出現問題。IT技術問題影響了公司的電話和線上服務,以及客戶用信用卡或預付卡付款的功能。但TransLink的運輸服務不受勒索軟體攻擊引起的IT問題所影響。

事件發生後,TransLink在一份聲明中透露: “我們現在可以確認TransLink的某些IT基礎設施已經成為勒索軟體的攻擊目標 。”“此攻擊包括通過印表機與TransLink通信。” 在攻擊期間,從印表機印出的勒索信,辨識到為Egregor勒索軟體。

由《Global News》在上週三獲得並看到TransLink的內部電子郵件中,告訴員工攻擊者“已存取並可能已從受限制的網路磁碟機複製了檔案”,

所存取的磁碟機包含TransLink,Coast Mountain Bus Company(CMBC)和大溫哥華交通警察的員工薪資資訊。電子郵件說:“那些受限制的網路磁碟機包括含有銀行資訊和一些社會保險號的檔案。”

Global News的記者Jordan Armstrong在推特上關於TransLink最新進展的推文:

截至目前,在Egregor勒索軟體攻擊之後,大多數TransLink的系統仍處於關閉狀態,包括實時GPS數據,追踪(tracking)和報告(reporting)系統,其公司技術人員仍正在努力盡快恢復它們。

TransLink建議想要追踪公車時程的客戶“暫時”使用Google trip planner,直到追踪系統重新上線。

另外,儘管有證據顯示駭客在攻擊過程中存取了它們的磁碟機,但TransLink表示目前仍在確定受影響的員工數目以及攻擊者打開或複制的檔案。TransLink還敦促所有員工盡快註冊為所有員工免費提供的兩年信用卡監控。

關於Egregor的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5fc94a8028a7e6be7487aea3

https://otx.alienvault.com/pulse/5fbed263fa9e196c722eff7a