外媒報導日系網通設備供應商Allied Telesis遭勒索軟體組織LockBit 滲透攻擊 敏感資料外洩

Photo Credit: The Cyber Express

      據Cyber Express外媒報導國際頭號勒索軟體組織LockBit 聲稱入侵Allied Telesis,並於2024年5月27日洩露了該公司的設計藍圖、護照及機密協議等敏感資料,並宣稱於6月3日將發佈全面的資料。而Allied Telesis公司尚未對外說明證實或反駁所謂的駭客攻擊所造成的公司重要敏感資料外洩事宜。

國外相關執法機構先前於2024 年 2 月曾針對LockBit造成的危害嚴重性,關閉與LockBit操作相關的伺服器、沒收管理面板權證、附屬網路資訊和加密貨幣交易等關鍵行動。迄今顯然沒有嚇阻效用,LockBit目前持續更新在加密工具和伺服器的攻擊手法,持續擴大勒索行徑。

LockBit通常會透過Email、惡意程式下載、釣魚網站或漏洞入侵系統再做橫向移動擴大影響範圍,如此造成的攻擊破壞性強大,利用零時差攻擊成功入侵電腦後便竊取檔案加密,對備份檔案進行刪除,強化威脅力道並以公開敏感機密資料威脅勒索企業或組織,常以加密貨幣作為贖金支付。

      國際虛擬貨幣飆漲,也加劇了加密勒索事件頻繁,最近台灣設備大廠也陸續遭受機密資料被竊取勒索的重大資安威脅。企業除了加強使用者與主機管理者的資安防護警覺外(防火牆版本與設定即時更新、提升密碼設定強度、機密或客戶資料的網域做適當隔離),面對狡猾的LockBit網路攻擊手法,單一的安全防護措施是不足的。

與其被動攻擊不如主動防禦,主動式的資安防護已是當前不可或缺的防禦手法,竣盟科技的主動式欺敵、誘捕的資安防護機制近期陸續為各企業與機關單位所採納與建構,有效的資安防禦才是幫助企業降低資安風險及保護核心資產。

以下提供LockBit相關的部分的入侵指標(IOCs):

英國NCA、美國FBI公開LockBit幕後首腦身分

執法單位宣布,他們已經識別、制裁並起訴了LockBit的幕後主使Dmitry Yuryevich Khoroshev

歷史上最臭名昭著的勒索軟體組織之一的領導者身份終於被揭露,週二(5月7日),由英國國家犯罪局(National Crime Agency-NCA))領導的執法聯盟宣布,31歲的俄羅斯公民Dmitry Yuryevich Khoroshev是暱稱“LockBitSupp”的幕後黑手,他也是LockBit勒索軟體的管理員和開發者,作為「為網路犯罪集團履行各種營運和管理職責」的一部分,Khoroshev據稱負責升級 LockBit 基礎設施、招募新的勒索軟體開發人員以及管理 LockBit 附屬成員。美國司法部也宣布對Khororshev提出起訴,指控他犯下電腦犯罪、詐欺和勒索罪。針對 Khoroshev 的行動是 NCA、FBI 和組成克諾司行動(Cronos Operation) 的國際執法工作小組對 LockBit 組織進行廣泛且持續調查的一部分。今年2 月,LockBit 基礎設施受到名為克羅諾斯行動的國際執法行動的嚴重破壞,導致兩人被捕、34 台伺服器被關閉、超過14,000 個流氓帳戶被關閉、200 多個加密貨幣帳戶被凍結。

現在,「LockBitSupp」首次被國際執法團隊揭露。在周二公佈的一份起訴書中,美國聯邦檢察官表示,Khoroshev及其下屬在掌管 LockBit(最多產的勒索軟體組織之一)的五年期間,向約 2,500 名受害者勒索了 5 億美元,其中約 1,800 名受害者位於美國,據稱Khoroshev從收入中分成了約 1 億美元。起訴書指控該俄羅斯國民犯有一項共謀實施欺詐、勒索和與電腦有關的相關活動的罪名,一項共謀實施電信詐欺的罪名,八項故意損壞受保護電腦的罪名,八項與電腦有關的勒索罪。如果罪名成立,Khoroshev最高將面臨 185 年監禁。他現在將受到一系列資產凍結和旅行禁令。除了起訴書之外,美國財政部官員以及英國和澳洲財政部官員也宣布對Khoroshev實施制裁。除此之外,美國的制裁允許官員對任何向 LockBit 集團付款或協助付款的美國人處以民事處罰。美國國務院也宣布懸賞 1000 萬美元,獎勵任何導致Khoroshev被捕和/或定罪的資訊。

英國國家犯罪局 (NCA) 在滲透 LockBit 基礎設施後發現,該組織在2022 年6 月至2024 年2 月期間發動了7,000 多次攻擊,主要針對美國、英國、法國、德國和中國的實體,其中包括100 多家醫院和醫療保健組織。超過 2,100 名受害者與該組織進行了某種形式的談判,雖然 LockBit 仍在繼續運營,但其活動目前比中斷前的水平減少了 70% 以上,至少在英國是如此。 NCA 表示,目前活躍的附屬機構不夠成熟,影響力也較小。

在打擊LockBit之前,NCA 確定了有194個使用 LockBit RaaS 的附屬成員,但自 2 月以來,這一數字已降至69 。NCA 提供了一份包含所有已發現身分的清單,其中包括新附屬成員的全名。該機構表示,目前擁有超過 2,500 個解密金鑰,並正在聯繫 LockBit 受害者,以協助他們恢復資料。

隨著克諾司行動在 10 個國家/地區執法機構的支持下繼續進行,歐洲刑警組織週二宣布,已識別出 33 個國家/地區的 3,500 多名 LockBit 受害者,強調受害者可以使用NoMoreRansom網站上提供的免費恢復工具來恢復其資料。

LockBit勒索軟體遭瓦解,兩名駭客被捕 執法機構釋出LockBit3.0解密工具

被接管的LockBit暗網煥然一新

Key Points:

*2/20由執法合作夥伴組成的國際組織表示,中斷了LockBit 勒索軟體的運作,奪取了近代史上最多產的勒索軟體組織的基礎設施。

*美國司法部與英國當局和其他國際執法機構合作,對兩名俄羅斯公民 Artur Sungatov 和 Ivan Kondratyev 提出起訴,指控他們針對美國眾多公司和世界各地目標部署了LockBit。

*FBI 和英國國家犯罪局與多個合作夥伴合作,也查獲了 LockBit 使用的眾多面向公眾的網站和伺服器。當局獲得了解密金鑰,這將使數百個受害組織能夠重新獲得被盜的資料。

*LockBit客製化的資料外洩工具StealBit的基礎設施已被三個國家的當局扣押

國際執法機構週二(2/20)宣布擾亂並搗毀 LockBit,歐洲刑警組織稱其為「世界上最大的勒索軟體操作」。由英國國家犯罪局 (NCA) 領導的國際執法機構聯盟,作為克諾司行動(Cronos Operation)的一部分,摧毀了 LockBit 的基礎設施,這是一項為期數月的努力,旨在制止勒索軟體即服務(RaaS)的活動,以消除其犯罪行為。該機構在聲明中表示:“今天,在滲透到該組織的網路後,NCA 已經控制了 LockBit 的服務,從而搗毀了他們的整個犯罪事業。 ” 除了破壞行動之外,歐洲刑警組織還採取了其他協調行動,包括週二上午在波蘭和烏克蘭逮捕了兩名 LockBit 成員,並凍結了與該組織有關的 200 多個加密貨幣帳號。

歐洲刑警組織稱,這次行動逮捕了兩人,凍結了 200 多個加密貨幣帳號,控制及關閉了34台伺服器,並刪除了 14,000 個流氓帳號。此外,執法機構表示「允許 LockBit 服務所有要素運作的技術基礎設施」和洩密網站已被接管。目前,尚不清楚被扣押的 200 個錢包中儲存了多少加密貨幣。然而,支付贖金的受害者現在可能可以收回部分勒索軟體付款,就像聯邦調查局之前為殖民地管道(Colonial Pipeline)所做的那樣。

「目前,執法部門掌握了整個調查過程中收集的大量數據。這些數據將用於支持正在進行的國際行動活動,重點是該組織的領導人,以及與這些犯罪活動有關的開發商、附屬會員、基礎設施和犯罪資產,」歐洲刑警組織表示。

兩名駭客分別是Artur Sungatov 和Ivan Kondratyev(也稱為Bassterlord)於波蘭和烏克蘭被捕。此外,法國和美國當局還發出了三份國際逮捕令和五份起訴書。 美國表示,已對兩名涉嫌與 LockBit 勒索軟體有關聯的人提出指控,他們已被拘留並等待引渡,並公佈了對兩名被指控密謀發動網路攻擊的俄羅斯國民的起訴書。NCA在自己的新聞稿中表示,已經控制了LockBit使附屬

會員能夠建立和部署攻擊主要的管理環境。」「透過我們的密切合作,我們已經攻擊了駭客; NCA 總幹事 Graeme Biggar 表示:“控制了他們的基礎設施,奪取了他們的源代碼,並獲得了幫助受害者解密系統的密鑰。”

「截至今天,LockBit已被鎖定。我們損害了這個依賴保密和匿名的組織的能力,尤其是其可信度。」Biggar補充道。 “我們的工作並不止於此。 LockBit 可能會尋求重建他們的犯罪企業。然而,我們知道他們是誰,以及他們如何運作。” 據EurojustDoJ 稱,LockBit 攻擊據信影響了全球 2,500 多名受害者,並賺取了超過 1.2 億美元的非法利潤。作為克諾司行動的一部分,執法部門還 從被扣押的 LockBit 伺服器中獲得了1,000 多個解密金鑰。使用這些解密金鑰,將使受害組織能夠恢復被加密的資料。此外,日本警方、NCA 和聯邦調查局 (FBI) 在歐洲刑警組織的支持下開發了 LockBit 3.0勒索軟體解密工具,並已在No More Ransom平台釋出,將使受害組織能夠恢復被加密的資料。根據NCA,在接下來的2到3天裡,將會有許多消息披露,但最誘人的是 LockBit 的領導人兼發言人 LockBitSupp面紗即將被揭開。

網路和惡意軟體研究安全團隊Vx-Underground在 X上稱,執法行動似乎針對的是“每個已知的Lockbit 勒索軟體網站”,至少有22 個Tor 網站處於離線狀態或顯示扣押訊息。 Vx-Underground 聲稱已獲得 LockBit 管理人員被攻陷的確認,網路犯罪分子聲稱執法部門利用了追蹤為CVE-2023-3824 的PHP遠端程式碼執行漏洞來控制其系統。 然而,駭客聲稱只有使用 PHP 的伺服器受到 FBI 的攻擊,但不使用 PHP 的備份伺服器據稱並未受到影響。現在當LockBit附屬會員登入勒索軟體儀表板時,會收到一條消息,通知他們LockBit平台已受到執法部門的控制,調查人員已獲得原始碼、受害者資料、勒索的金額、所竊取的資料,以及聊天紀錄等。

俄羅斯公民Mikhail Matveev,據稱是目前駐紮在俄羅斯的LockBit活躍分子

LockBit是「勒索軟體即服務」模式的先驅,將目標選擇和攻擊外包給半獨立「附屬會員」,為他們提供工具和基礎設施,並收取贖金佣金作為回報。許多勒索軟體駭客位於俄羅斯,該國網路犯罪活動猖獗,而且不引渡本國公民,這讓受害者居住國當局感到沮喪。美國司法部對俄羅斯國民 Artur Sungatov 和 Ivan Kondratyev 提出了起訴書(首次公開點名),並表示一名在逃的俄羅斯網路犯罪嫌疑人 Mikhail Matveev 也參與了 Lockbit。去年,美國國務院懸賞1000 萬美元尋找導致他被捕的資訊。由於這些核心嫌疑人似乎仍然可以在俄羅斯自由活動,因此毫無疑問他們可以重建 LockBit的帝國,然而這次行動的內容削弱了駭客對犯罪生態系統的信任。

更多的資訊,請參考NCA新聞稿和影片; 以及美國司法部長 Merrick Garland YouTube 影片

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

LockBit勒索軟體因全球執法部門的行動而中斷 網域已被查封

LockBit網站已被查封並替換為十一個國家的執法標誌

LockBit是世界上最多產的勒索軟體組織,其網站週一(2/19)被查封,這是國際執法行動的一部分,該行動涉及英國國家犯罪局(National Crime Agency)、聯邦調查局(FBI)、歐洲刑警組織(Europol)和幾個國際警察機構。LockBit網站上的扣押通知稱:“英國國家犯罪局與聯邦調查局 (FBI) 以及名為克諾司行動(Cronos Operation)的國際執法工作小組密切的合作,我們可以確認,LockBit 的服務已因國際執法行動而中斷——這是一項持續且發展中的行動。”該貼文也提到了來自法國、日本、瑞士、加拿大、澳洲、瑞典、荷蘭、芬蘭和德國的其他國際警察組織,並承諾更多資訊將在格林威治標準時間2 月20 日星期二11:30 公佈。

LockBit是2019 年出現的最大的勒索軟體即服務業者之一,它依靠其他駭客(附屬會員)進行實際的駭客攻擊,向他們提供使用其加密工具支付的贖金的 75%。LockBit造成 3,000 多名已知受害者,但實際數字可能要高得多。

惡意軟體研究人員 vx-underground在X上發文,當 LockBit 附屬會員登入 LockBit儀表板時會看到一條警告,稱執法部門已查獲來自LockBit的原始碼、所攻擊的受害者的詳細資料、勒索的金額、被盜的數據、聊天記錄等內容,如下:

同時LockBit代表也向VX-Underground證實了該行動 LockBit代表說,「聯邦調查局攻破我」。如下圖顯示:

Recorded Future 首席情報分析師Allan Liska表示,今天是偉大的一天,這將對勒索軟體攻擊的數量產生重大影響。LockBit是一系列講俄語的勒索軟體組織之一,其他包括Alphv(也稱為 BlackCat)和 Hive勒索軟體的伺服器也曾被執法部門沒收。Liska稱勒索軟體組織緝獲量的上升歸因於拜登政府成立的國際勒索軟體特別工作組,該工作組由 37 個相互共享情報的政府組成。他說:“國家之間的資訊共享顯然非常好,參與其中的每個人都有動力分享他們擁有的任何情報。”

這次扣押標誌著勒索軟體LockBit集團的重大挫折,然而LockBit 組織的核心成員不太可能在此次行動中被捕,因為他們的總部位於俄羅斯。儘管如此,執法部門查封 LockBit 網站,意味著將對勒索軟體生態系統產生重大(即使是短暫的)影響,並減緩攻擊速度。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

京鼎遭LockBit勒索軟體攻擊

1 月 16 日,鴻海科技集團旗下半導體零件製造子公司京鼎精密的網站被勒索軟體組織劫持,顯示要洩露該公司客戶個人資訊和員工資訊。這是第一次本地大型企業成為被勒索軟體篡改網站的受害者。

京鼎遭LockBit入侵,駭客挾持京鼎公司網站

根據聯合報的報導,操作勒索軟體LockBit的 駭客還直接在網頁上留下兩大段訊息,第一段訊息是告知客戶,駭客集團已拿下京鼎的客戶資料,如果京鼎不付錢,那麼,客戶的所有個人資料都將被公開在網路上,第二段訊息則是告知員工,如果京鼎管理階層不與駭客集團聯繫,那麼,駭客將會摧毀京鼎所有的資料,而且這些資料將不能恢復,這恐怕會讓員工失去工作

後京鼎在提交給台灣證券交易所的一份重訊聲明中表示,在檢測到攻擊後不久,該公司於下午恢復了其網站,並補充說正在與安全專家合作。京鼎在聲明中表示,該公司的初步評估顯示,該事件不會對其營運產生重大影響。

該公司並未透露有關駭客索要贖金的任何資訊。該公司也沒有說明其客戶或員工的任何個人資訊是否被洩露。

鴻海透過其子公司持有京鼎約 15.22% 的股份。台灣應用材料公司持有該公司8.36%的股份。

Check Point發布的報告顯示,去年前三季全球每週網路攻擊數量每年增加 3%。台灣是遭受駭客攻擊最多的地區,平均每週發生 1,509 次攻擊。

LockBit 勒索軟的部分入侵指標(Indicator of compromise -IOCs):

6e8ca501c45a9b85fff2378cffaa24b2

eb842a9509dece779d138d2e6b0f6949

a54af16b2702fe0e5c569f6d8f17574a9fdaf197

17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994

498ba0afa5d3b390f852af66bd6e763945bf9b6bff2087015ed8612a18372155

906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6

三家德國醫院在平安夜遭到LockBit勒索軟體的攻擊

Photo Credit: KHO

德國東威斯特法倫天主教醫院協會(Katholische Hospitalvereinigung Ostwestfalen-KHO) 已證實由其經營的三家醫院Franziskus Hospital Bielefeld、Sankt Vinzenz Hospital Rheda-Wiedenbrück和 Mathilden Hospital Herford在2023 年 12 月 24 日凌晨遭到網路攻擊,造成整個 IT 系統中斷。KHO發布的公告中寫道:“身份不明的攻擊者已經存取了醫院 IT 基礎設施的系統,並加密了數據。初步調查表明,這可能是 Lockbit 3.0 的網路攻擊,目前無法預見解決時間。出於安全原因,所有系統一經發現立即關閉,並通知所有必要的各方和機構。”由於目前,調查正在進行中,入侵程度以及攻擊者是否竊取資料尚未確定。

根據BleepingComputer的報道,KHO營運的以下三家醫院受到了網路攻擊的影響:

Franziskus Hospital Bielefeld 醫院 – 614 床、10 個專科科室、390 名醫生和工作人員

Sankt Vinzenz Hospital Rheda-Wiedenbrück 醫院 – 614床,5個專科室,200名醫生和工作人員

Mathilden Hospital Herford 醫院 – 614 床、8 間專科室、230 位醫生和工作人員

上述醫院在德國的所在地提供醫療保健服務方面發揮著關鍵作用,因此影響其 IT 系統的網路攻擊會給處於醫療緊急情況的人帶來可怕的影響。

根據KHO的聲明,受影響醫院的患者治療繼續正常進行,所有診所業務仍然可用,但存在一些技術限制。透過成功恢復備份,仍然可以存取重要的患者資訊。然而,KHO 的三家醫院無法提供緊急護理,因此急需醫療護理的人員被轉移到其他地方,可能會導致嚴重的延遲。

截至本文撰寫時,LockBit 勒索軟體集團尚未將 KHO 添加到在其暗網揭秘網站中,因此網路犯罪分子是否竊取了患者資料或其他敏感資訊尚未確定。

又傳台灣上市企業遭LockBit攻擊 自動化設備大廠疑遭殃

某台灣著名的智慧自動化設備大廠,據稱已成為臭名昭著的 LockBit 勒索軟體組織的受害者。12 月 4 日,操作LockBit勒索軟體的背後駭客在其揭秘網站上,發布了對有關自動化設備大廠網路攻擊的訊息,目前駭客並沒有公開截圖、所盜的數據量及任何攻擊的細節,然而卻發出最後通牒,威脅要在 2023 年 12 月 8 日曝光該大廠的敏感資料。據觀察該網站似乎可以正常運行,沒有明顯的網路攻擊跡象,攻擊是否針對的是該公司的資料庫,暫仍不得而知。

LockBit 勒索軟體組織是誰?

LockBit 勒索軟體組織是一個以勒索軟體即服務 (RaaS) 模式運作的網路犯罪組織,因其雙重勒索策略而臭名昭著。這涉及對受害者數據進行加密並威脅要外洩露數據,除非駭客的贖金要求得到滿足。

根據多個政府機構的聯合聲明,LockBit 勒索軟體組織被評為2022 年全球最多產的勒索軟體,佔44 %全球勒索軟體事件。光是在美國,2020 年 1 月至 2023 年 5 月期間,LockBit 勒索軟體組織就參與了約 1,700 起勒索軟體攻擊,累積了高達 9,100 萬美元的贖金。值得注意的是,該組織仍然出於經濟動機,沒有正式歸屬於任何特定的國家,但一般認為LockBit與俄羅斯有關聯。

LockBit 勒索軟體組織因其研發的「StealBit」(一種自動提取資料的惡意軟體工具)而引起關注。該工具與更版的LockBit 2.0 一起發布,具有快速且高效的加密功能。LockBit稱其該工具是世上最迅速盜竊數據的神器。此外,LockBit透過推出 Linux-ESXI Locker 1.0 版擴大了其影響範圍,目標是Linux主機,特別是 ESXi 伺服器。2022 年 6 月,LockBit打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號,推出3.0新版

2023 年 11 月,美國CISA、FBI 警告企業LockBit針對名為Citrix Bleed漏洞(CVE-2023-4966,CVSS風險評分為9.4)的零時差漏洞),作出廣泛利用。LockBit 的廣泛影響力遍及全球各個行業,包括醫療保健和教育部門成為主要目標。根據趨勢科技的數據,美國、印度和巴西位居最常遭受 LockBit 惡意活動的國家名單之首。

台灣高科技產業無疑也是駭客的攻擊目標:

2023年11月北韓駭客Diamond Sleet針對台灣訊連科技用戶發動供應鏈攻擊

2023年11月Hunters International勒索軟體入侵台灣上市生醫

2023年8月勒索軟體NoEscape攻擊台灣上市電子公司,盜走50GB的數據

2023年4月微星(MSI)遭Money Message 勒索軟體入侵,被勒索約1億2千萬新台幣

2023年3月Acer約160Gb資料遭駭客兜售

2022年12月傳出LockBit入侵台灣汽機車機電系統整合大廠及觸控面板大廠

2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金

2021 年 10 月 18 日, Desorden Group駭入宏碁台灣的系統,盜走並釋出Acer員工的敏感資料

2020年 10 月研華科技遭Conti勒索軟體入侵,約1300萬美元

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 www.billows.tech , 以免觸法”

加拿大政府因其外包商遭到駭客攻擊 證實資料外洩

屬於數量不詳的加拿大政府僱員的敏感資料因針對兩家政府外包商的網路攻擊而被外洩,據了解,入侵行為發生在上個月,為加拿大政府員工提供搬遷服務的供應商 Brookfield Global Relocation Services (BGRS) 和 SIRVA Worldwide Relocation & Moving Services(SIRVA)成為網路攻擊的受害者。負責所有加拿大聯邦僱員的財政部在周五的聲明中披露了這一消息,聲明稱,加拿大政府正在分析「大量」數據,但初步調查顯示,洩露的資訊可能屬於早在 1999 年就使用過搬遷服務的任何人,當中包括加拿大武裝部隊成員、現任和前任聯邦員工以及加拿大皇家騎警人員的資料。

BGRS 為公家機關和私人企業提供搬遷服務,為調到新職位的員工提供協助。SIRVA Canada 系統處理實際的搬家服務。據 BGRS 網站稱,該機構每年監管超過 20,000 起搬遷案件。超過 8,000 家供應商支援其搬遷方案。兩家公司關係密切。去年,SIRVA Canada 的美國母公司 SIRVA Inc. 和 BGRS共同建立了一家新公司,名為 SIRVA BGRS Worldwide

10月20日,CBC新聞報導,國防部已向員工發出內部說明,警告BGRS遭受了一起資安事件,該說明是在一些軍人發現BGRS線上入口網站不能使用。國防部的那份說明也被公開,稱9月29日,政府被告知發生了一起“事件”,但到10月19日,確認未經授權存取了BGRS持有的資訊。聲明稱,這些數據由 BGRS 和 SIRVA的IT 系統持有。

雖然加拿大政府尚未確定該事件的來源,但 LockBit 勒索軟體已聲稱對破壞 SIRVA 系統負責,並洩露了他們聲稱包含 1.5TB 盜竊資料的檔案。LockBit 也公開了與所謂的 SIRVA 代表談判失敗的內容。據LockBit稱,他們已洩露超過1.5TB 的資料,當中包括3 個SIRVA分公司(歐盟、北美和澳洲)的3 個CRM 完整備份。10 月 19 日,加拿大政府獲悉承包商的資安事故後,政府立即向加拿大網路安全中心和隱私專員辦公室等相關當局報告了該漏洞。

為了應對資安事故,加拿大政府正在採取積極主動的預防措施,上週五發表的一份聲明稱,加拿大政府不會靜待調查的結果,而是採取積極主動的預防措施來支持那些可能受到影響的人。 政府為過去 24 年來隨 BGRS 或 SIRVA Canada 調動的現任和前任公務員、加拿大皇家騎警和加拿大武裝部隊成員提供信用監控或重新簽發有效護照。

以下是政府向可能受影響的個人提供的建議:

*更新可能與 BGRS 或 SIRVA Canada 使用的登入憑證類似的登入憑證

*對用於線上交易的帳戶啟用多重身份驗證

*監控財務和個人線上帳戶是否有任何異常活動

LockBit的部分入侵指標(Indicator of compromise -IOCs):

fb49b940570cfd241dea27ae768ac420e863d9f26c5d64f0d10aea4dd0bf0ce3

b3ea0f4f442da3106c0d4f97cf20e244b84d719232ca90b3b7fc6e59e37e1ca1

45c317200e27e5c5692c59d06768ca2e7eeb446d6d495084f414d0f261f75315

27b8ee04d9d59da8e07203c0ab1fc671215fb14edb35cb2e3122c1c0df83bff8

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階欺敵系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

LockBit再度出手!波音公司陷入資料外洩危機

LockBit 勒索軟體組織,或許是世界上運作最嚴密的網路犯罪組織之一。這個組織不僅成功滲透各種組織,而且其嚴格的方法確保它獲得所需的目標。根據美國網路安全和基礎設施安全局 (CISA) 的資料,LockBit 勒索軟體是2022年部署最廣泛的勒索軟體變體,而且預計在2023年持續威脅擴散。它主要瞄準的是關鍵基礎設施,包括金融服務、食品和農業、教育、能源、政府和緊急服務、醫療保健、製造和運輸等行業。

LockBit 勒索軟體的攻擊方式也因其勒索軟體即服務模式而聞名,其戰術、技術和程序(TTP, Tactics, Techniques, and Procedures)可謂五花八門。這種TTPs的多樣化對於致力於維護網路安全和防範勒索軟體威脅的組織構成了重大挑戰。

在澳洲,LockBit 勒索軟體佔據了2022年4月至2023年3月的勒索軟體事件總數的18%。這個數字包括所有LockBit勒索軟體的變體,而不僅僅是LockBit 3.0。2022年,LockBit還占據了加拿大22%的勒索軟體事件,而紐西蘭的CERT則接到了15份LockBit勒索軟體報告,佔2022年勒索軟體報告的23%。

根據FBI的統計,美國已發生約1,700起LockBit事件。自2020年1月5日首次在美國觀察到LockBit活動以來,美國已支付約9,100萬美元的贖金。

LockBit 勒索軟體首次被發現於2019年9月。然而,在過去幾年中,這個勒索軟體不斷升級,變得更加具有威脅性。

以下是重點介紹LockBit勒索軟體的不同變種:

  1. LockBit – 這是最初版本,使用原始的.abcd副檔名,以極快的速度加密文件,只需五分鐘。
  2. LockBit 2.0 – 由原始LockBit變體演進而來,提高了解密字串和代碼的速度,以避免偵測。一旦取得管理權限,加密過程即開始。
  3. LockBit 3.0 – 在2022年6月下旬推出,延續了提高加密速度以避免安全偵測的趨勢。這個惡意軟體使用反分析技術、密碼執行和命令列增強。LockBit 3.0還引入了首個有記錄的勒索軟體漏洞賞金計劃,鼓勵用戶和安全研究人員報告漏洞,以換取經濟獎勵。
  4. LockBit Green – 最新的變體,針對Windows環境的標準勒索軟體變體。
  5. Mac版LockBit – 在2023年5月,發現LockBit已開始開發LockBit勒索軟體的macOS版本,不過它無法輕易在設備上運行。

最新的LockBit目標是波音公司, LockBit聲稱擁有這家飛機製造商的大量敏感資料。根據資安研究團隊vx-underground的消息,它已與 LockBit 成員進行了交談,LockBit聲稱使用了零日漏洞來存取資料,然而沒有提供有關攻擊鏈或據稱由 LockBit洩露的資料性質的更多細節,也沒有具體說明它從波音公司竊取了多少數據,也沒有提供有關其尋求支付的贖金的詳細資訊,但公開了波音公司的倒數計時器,最後期限設於11月2日。

Photo Credit: VX-UNDERGROUND

波音發言人表示,公司正在評估這一聲稱,即目前沒有核實或否認這說法。除了民用飛機,波音還在全球設計、製造和銷售旋翼飛機、火箭、衛星、電信設備和飛彈,並提供租賃和產品支援服務。目前尚不清楚哪些地區受到了LockBit勒索軟體組織的威脅。2022年11月初,波音的全資子公司、航班規劃工具商Jeppesen遭到網路攻擊事故,導致該公司提供的部分產品及服務面臨技術問題,造成北美、中東等多家航空公司的部分航班規劃被迫中斷、航班延誤。

波音公司目前正在評估 LockBit 說法的真實性,考慮到波音所服務的公共和私營部門涉及的高風險,迅速採取行動和開放溝通對於前進至關重要。

日本最大港口-名古屋港作業系統遭LockBit勒索軟體攻擊而中斷

勒索軟體攻擊引起貨櫃搬運系統不能操作,導致無法裝卸貨櫃,貨櫃車在港口附近大排長龍。

日本最大的港口名古屋港遭受LockBit勒索軟體攻擊,其運營受到嚴重影響。根據朝日電視台,位於伊勢灣的名古屋港是日本最大、最繁忙的貿易港口,約佔日本貿易總額的10%。值得注意的是,這個港口是日本最大的汽車出口地,也是豐田汽車公司出口大部分汽車的地方。該港口遭受勒索軟體攻擊,影響了貨櫃碼頭的運營。據管理系統的名古屋港運協會證實,7月4日上午6點30分左右,當時一名員工無法存取名古屋聯合終端系統 (Nagoya United Terminal System-NUTS),該系統用於操作該港口的五個貨運碼頭。因網路攻擊引起貨櫃搬運系統不能操作,導致無法裝卸貨櫃,貨櫃車在港口附近大排長龍。據稱,由於駭客遠端地向印表機發送了超過100份英文勒索信,該信上出現LockBit字樣,可推斷攻擊來自LockBit勒索軟體集團,然而仍不清楚勒索贖金。

Photo Credit : 朝日電視台

根據日經的報導,名古屋港計劃於7月5日下午6:00前恢復系統,力爭7月6日上午8:30起恢復裝卸工作。在此之前,所有使用貨櫃車在碼頭進行的裝卸貨櫃作業均已取消,給港口造成了巨大的財務損失,並嚴重擾亂了進出日本各地的貨物流通。以名古屋港為進出口據點的日本豐田汽車表示,事故導致零部件裝卸作業無法進行,但暫時未有妨礙生產。這是名古屋港第二次遭到網路攻擊。去年 9 月,親俄羅斯組織 Killnet針對該港口發起的大規模分散式阻斷服務 (DDoS)攻擊,導致該港口網站關閉。這次LockBit的攻擊無疑是向名古屋港發出的一個警告信號,表明其系統需要徹底地進行網路安全檢修。