標籤: LockBit

國外媒體報導,LockBit宣稱已攻擊台灣某電源供應器製造大廠,暫未得知LockBit所盜的數據量

Posted on by blogadmin

被設置需支付約台幣1仟5佰萬元方可將數據銷毀或獨家下載

根據英國資安新聞網站TechMonitor於2月10日的報導,勒索軟體集團LockBit在其揭秘網站上發布了據稱屬於全球電源產品製造商某某科技的頁面,LockBit表示,若總部位於台灣的某某科技未於付贖金截止日期 2 月 19 日前付款,將發布從該公司哪裡盜來的所有數據。某某科技為電子設備和電動汽車 (Electric vehicles) 生產電源和充電器,並供應給世界各地的客戶,在美國、越南、日本、歐洲等地設有分公司。

LockBit聲稱掌握了該台灣公司大量重要的公司數據,員工和客戶的個人身份資料,此外更進一步指出,取得了比如與客戶的合同協議、銷售數據、出廠產品的項目檔案、財務檔案,以及大量的數據庫。然而,LockBit並未揭露所盜的數據量。TechMonitor稱已就所謂的攻擊聯繫該公司,但尚未收到回覆。值得指出的是根據流出的樣本,LockBit在該台灣公司頁面提供了三個方案:

*支付1千美金,計時器將再延長 24小時

*支付499999美金(約台幣1仟5佰萬元),有關該公司的所有數據將被銷毀,並且從揭秘網站LockBit Leaked Data中刪除

*支付499999美金,獲得獨家下載該公司數據的權限

知名資安研究員Dominic Alvieri 也在其Twitter帳號上指出,該台灣公司遭到LockBit的攻擊

LockBit勒索軟體自2019年推出以來,經歷數次改版,最新版本為LockBit Green,LockBit Green使用了已關閉的勒索軟體Conti外洩的原始碼。由於未有勒索信流出,目前無法判斷該公司是否成為了台灣首家LockBit Green的受害者,LockBit Green的勒索信與 LockBit Black相同;但勒索信檔案名稱則更改為!!!-Restore-My-Files-!!!.txt,經LockBit Green加密的檔案則出現隨機的副檔名,而不是標準的 .lockbit的副檔名。

有關LockBit Green的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

924ec909e74a1d973d607e3ba1105a17e4337bd9a1c59ed5f9d3b4c25478fe11

MD5:

ea34ac6bf9e8a70bec84e37afeea458a

aacef4e2151c264dc30963823bd3bb17

37355f4fd63e7abd89bdc841ed98229f

730f72a73ff216d15473d2789818f00c

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit的變種LockBit Green出現了,此版本採用了基於Conti勒索軟體的加密程式

Posted on by blogadmin

最近,LockBit勒索軟體集團使用了其他勒索軟體的加密程式,這是繼LockBit Red 和 LockBit Black 之後的最新版本,此版本稱為”LockBit Green”。 據悉,LockBit RaaS 的會員可以使用LockBit portal 上的構建器功能獲得 LockBit Green版本,LockBit Green旨在將基於雲端服務納入其目標,新版本的發布得到了資安研究團隊VX-underground的證實:

VX-underground注意到 LockBit 修改了他們針對ESXI的變種,以繼續將其用作企業網路的入口點,ESXI是VMware開發的一款裸機虛擬化管理程式,用於部署和服務虛擬機。另外,據分析新版本的研究人員CyberGeeksTech,通過對樣本進行逆向工程,發現100% 的LockBit Green是基於Conti勒索軟體外洩的原始碼,但令人困惑的是,LockBit已經擁有屬於自己的加密程式,卻還要選擇基於Conti 建立的有效負載,是否為了於降低開發成本和時間,從而使LockBit RaaS運營商能夠最大限度地提高發布速度以吸引新的會員?!

根據資安公司PRODAFT分享了他們發現的四個 LockBit Green 樣本的 MD5 哈希值和包括可以檢測新變種的 Yara rules,發現LockBit Green使用與以前的 Conti 加密程式相同的命令行參數,並可以確認勒索信已修改為LockBit 3.0的樣式,而不是Conti 的格式。PRODAFT進一步指出,目前至少有5名受害者受到了LockBit Green變種的攻擊,當中包括英國軟體公司ION Trading UK,導致處理清算衍生品的伺服器癱瘓,2023 年 1 月 31 日,ION Trading UK在一份聲明中披露了這一事件,稱其影響了 ION Markets 的一個部門 ION Cleared Derivatives。這次攻擊迫使該公司的美國和歐洲的42 家大客戶轉向手動處理交易,造成嚴重延誤。

LockBit Green的勒索信

值得指出的是LockBit Green 變種使用隨機的副檔名,而不是標準的 .lockbit的副檔名。另外,PRODAFT觀察到Conti勒索軟體集團前會員特別在LockBit Green發布後,呈向使用此版本的LockBit勒索軟體,很有可能是LockBit是基於Conti的變種,使前成員們在使用更如魚得水。

有關LockBit Green的部分入侵指標(Indicator of compromise -IOCs):

MD5:

ea34ac6bf9e8a70bec84e37afeea458a

aacef4e2151c264dc30963823bd3bb17

37355f4fd63e7abd89bdc841ed98229f

730f72a73ff216d15473d2789818f00c

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit為攻擊加拿大Sickkids醫院道歉,首次釋出免費解密工具,專家稱醫院仍需數月完全恢復系統

Posted on by blogadmin

臭名昭著的LockBit勒索軟體集團,在承認其會員(Affiliate) 之一是加拿大最大兒科醫院(Sickkids) 網路攻擊的幕後黑手後,罕見地道歉並免費釋出解密工具給與受害醫院。12 月 18 日,多倫多病童醫院 (SickKids ) 遭到勒索軟體攻擊,導致該機構無法存取其許多關鍵系統,該事件影響了醫院內部系統、醫院電話線路和網站。雖然這次攻擊只加密了幾個系統,但 SickKids表示,該事件導致實驗室和影像系統的接收延遲,導致患者等待時間的增加,該醫院同時發出了灰色代碼(Code Grey)警示。截至 12 月 29 日,SickKids說它已重新恢復近 50% 的優先系統(Priority system),包括那些導致診斷和治療延誤的系統。12 月 31 日,LockBit 勒索軟體集團在其揭秘網站發出道歉聲明,LockBit 為這次攻擊道歉並發布了解密工具,LockBit道,“我們對加拿大Sickkids醫院的攻擊正式道歉,並免費提供解密工具,攻擊這家醫院的會員違反了我們的規定,已被封鎖,不能再加入我們的會員聯盟中。”

LockBit為Sickkids醫院提供解密工具
LockBit向Sickkids醫院道歉,SickKids 是多倫多的一家教學和研究醫院,專注於為患病兒童提供醫療保健。

根據Bleeping Computer的及報導,解密工具明顯地只適用於Linux/VMware ESXi系統,不支援 Windows,這表明 LockBit的會員只加密了醫院網路上的虛擬機。Sickkids在 1 月 1日表示,在獲悉勒索軟體組織在網上發布的聲明,其中包括提供免費解密工具以恢復受網路攻擊事件影響的系統,已聘請第三方專家來驗證和評估解密工具,並補充說他們沒有支付任何贖金。目前尚不清楚,為什麼 LockBit花了將近兩週的時間才向 SickKids 提供免費解密,值得注意的是,在過去LockBit也曾針對醫院發動攻擊但並沒有釋出解密工具的紀錄,。例如,在2022年8 月,LockBit向法國醫院 Centre Hospitalier Sud Francilien勒索1000萬美元的贖金在醫院拒付後和最終外洩患者數據。2022年6 月,日本德島縣鳴門市醫院遭LockBit入侵,導致電子病歷無法存取。

Lockbit勒索軟體集團以勒索軟體即服務(Ransomware as a service,RaaS) 的操作來運營,負責建立及維護勒索軟體、加密工具和網站,其會員負責入侵受害者的網路、竊取數據和加密設備,該集團從所有贖金中抽取 20%作為報酬,其餘80%則交給會員。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

注意了! LockBit3.0濫用微軟Defender 載入 Cobalt Strike 的Beacon來感染設備

Posted on by blogadmin

研究指出微軟Defender 成為 LockBit 3.0 勒索軟體的目標,該勒索軟體通過部署 Cobalt Strike 的Beacon來利用系統並成功避免檢測。根據Sentinel Labs的研究人員表示, LockBit 3.0 勒索軟體濫用 Defender中特殊的 Command Line工具 MpCmdRun.exe 來側載惡意程DLL (DLL Sideloading)。MpCmdRun 負責保護 Windows 免受線上威脅和惡意軟體的入侵,一旦運行惡意 DLL 以解密系統,就會將 Cobalt Strike 信標安裝到設備中。

在這種情況下,最初的網路入侵是通過未修補的 VMWare Horizo​​n 伺服器上的 Log4j 漏洞執行 PowerShell 指令碼來進行的。攻擊過程的方式與和此前曝光的 VMWare CLI 案例幾乎相同,攻擊者實質上是利用Log4j 漏洞從其命令與控制 (C2) 伺服器下載 MpCmdRun.exe、惡意“mpclient”DLL 和加密的 Cobalt Strike 有效酬載檔案,以感染潛在受害者的系統。

LockBit 3.0 攻擊鏈 Photo Credit: Sentinel Labs

MpCmdRun.exe 是一個用於執行 Microsoft Defender 任務的命令行實用程式,它支持掃描惡意軟體、收集資料、還原項目、執行診斷追踪等命令。執行時,MpCmdRun.exe 將下載一個名為“mpclient.dll”的合法 DLL,該 DLL 對於程序正常運行至關重要。

在 SentinelLabs 分析的案例中,攻擊者建立了自己的mpclient.dll武器化版本,並將其放置在優先載入惡意版本 DLL 檔案的位置,再將從 c0000015.log 檔案(加密的Beacon)載入加密的 Cobalt Strike 有效酬載。

在攻擊中使用的元件與Windows Defender命令行工具的相關:

Photo credit: Sentinel Labs

雖然目前尚不清楚 LockBit 成員如何從 VMware 切換到 Windows Defender 命令行工具以側載 Cobalt Strike 的Beacon,但現今使用就地取材 (Living Off-the-Land-LoL)的工具來逃避 EDR 和 AV 檢測非常普遍;因此,企業需檢查他們的安全控制,並追踪可能被攻擊者使用的合法可執行檔案的使用保持警惕。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1      

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302 

e35a702db47cb11337f523933acd3bce2f60346d 

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

日本德島縣鳴門市醫院遭LockBit 2.0 入侵,醫院網路異常,導致電子病歷無法存取,醫院緊急停收新病患

Posted on by blogadmin

據多家日本媒體報導和德島縣鳴門山上醫院(Naruto Yamakami Hospital)的官網在6月20日的宣布,確認於6月19日晚,遭遇LockBit 2.0勒索攻擊,電子病歷和院內網路無法使用,醫院已緊急停止接收新的門診病人,但沒有影響住院患者的醫療和護理。

根據醫院的說法,攻擊發生在19日下午5點40分左右,醫院裡的一台連接網路的印表機印出大量英文的勒索信,同時電腦自動重啟,緊接著發現電子病歷系統無法使用。醫院聯繫縣警察和系統供應商。經過調查,確認感染LockBit 2.0勒索軟體,目前在政府和相關組織的支援下,正在檢查病患的個人資否外洩並努力恢復其系統。

鳴門山上醫院在官網宣布,遭LockBit 2.0勒索軟體攻擊

值得一提的是,據竣盟科技的觀察,LockBit2.0並沒有在其揭秘網站上,將德島縣鳴門山上醫院列為其受害者,推估雙方的談判可能仍在進行中。另外,如下圖所示,觀察到負責生產新幹線、日本航空和TOYOTA的座椅製造商TB川島株式會( TB TB kawashima Co Ltd.);新加坡的能源開發商Equis Development和印尼上市天然氣公司PT Medco Energi Internasional TBK(MEDC)出現在LockBit 2.0的受害者名單,顯示它們可能已被 LockBit 2.0 入侵。

由於TB川島株式會不僅是豐田的供應商,更是豐田附屬零部件製造商豐田紡織(Toyota Boshoku)的子公司,因此獲得媒體關注,日媒日経Tech就LockBit 2.0的攻擊提問TB川島株式會,但沒有得到回應。目前TB川島株式會的官網顯示維護中的狀態,如下圖:

日本德島縣鳴門市醫院遭LockBit 2.0入侵,是該縣第二起醫院資安事件,去年 10 月,在德島縣鶴木市半田醫院同樣遭受了LockBit 2.0勒索攻擊,導致電子病歷和會計等所有系統都處於中斷狀態,85,000名患者的數據及備份被加密,大約兩個月無法提供常規醫療服務。

有關LockBit 2.0的”部分”入侵指標(Indicator of compromise -IOCs):

IP address:

139.60.160.200

93.190.139.223

45.227.255.190

Hashes:

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

外媒報導鴻海旗下富士康墨西哥Foxconn BC,遭勒索軟體LockBit 2.0入侵

Posted on by blogadmin

#官網張貼維護中的公告

根據資安新聞網站SecurityWeek的報導,操作勒索軟體LockBit 2.0的背後駭客聲稱入侵了富士康墨西哥的電腦系統,富士康墨西哥工廠Foxconn BC位於下加州Baja California(墨西哥最靠近北邊的州) 的最大城市提華納(Tijuana),Foxconn BC是致力於製造醫療設備和消費電子產品的大型製造業者,該工廠約有 5,000 名員工。

Photo Credit : SecurityWeek

直到目前,尚不清楚LockBit2.0勒索軟體的攻擊是否對該工廠運營科技 (OT) 系統產生任何影響,是否波及製造環境導致生產線關閉等問題。然而,據觀察,Foxconn BC的官網目前呈現維護中的畫面。

Foxconn BC的官網目前呈現維護中的畫面

據報導,駭客威脅除非收到贖金,否則將在 6 月 11 日發布所有取得的資料,但索要的贖金金額仍不得而知。據悉,外媒已經聯繫了Foxconn BC,但該公司尚未發表任何評論作出回應。此次之前,2020年11月底,位於墨西哥Ciudad Juárez, Chihuahua的富士康CTBG工廠亦曾遭勒索軟體Doppel Paymer加密,當時駭客宣稱竊取了100GB的檔案,而且加密了1,200臺伺服器,已刪除的20-30 TB備份,要求富士康CTBG工廠支付3,400萬美元的贖金。

勒索軟體LockBit2.0導致國內企業有不少災情:

2022年5月份,有四家台灣企業遭LockBit2.0勒索軟體的攻擊,當中包含台灣某背光模組大廠和其子公司–> https://blog.billows.com.tw/?p=1923

2022 年 4 月某一飲料原物料商–>https://blog.billows.com.tw/?p=1833

2021年10月某製造業成衣副料商–>https://blog.billows.com.tw/?p=1411

2021年11月上市營建公司日勝生及該集團旗下百貨京站也遭LockBit2.0攻擊

最近傳出LockBit2.0將升級成為LockBit3.0的版本,並將更名為LockBit Black,LockBit2.0被譽為當今最快加密的勒索軟體,它的升級是否會帶來更多的變化,值得我們持續關注。

有關LockBit2.0的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://45.32.108.54:443/c0000015.log

http://45.32.108.54:443/glib-2.0.dll

IPv4: 149.28.137.7

SHA 1:

e35a702db47cb11337f523933acd3bce2f60346d

729eb505c36c08860c4408db7be85d707bdcbf1b

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

1458421f0a4fe3acc72a1246b80336dc4138dd4b

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

勒索軟體集團LockBit又一次升級? 修補了MSSQL 數據庫的加密漏洞,將推出3.0的版本LockBit Black?!

Posted on by blogadmin
Photo Credit: vx-underground

根據資安研究團隊vx-underground,勒索軟體集團LockBit命名其3.0版本為“Lockbit Black”,並修補了 MSSQL 數據庫的加密漏洞, LockBit最早於 2019 年 9 月以ABCD 勒索軟體開始運營,後更名為 LockBit並於 2021 年 6 月推出升級版本 LockBit 2.0。Lockbit 2.0勒索軟體引入了陰影複製和日誌檔案刪除等新功能,使受害者更難恢復。Lockbit在流行的勒索軟體集團中擁有最快的加密速度,在一分鐘內能加密了大約25,000檔案,此外,LockBit擁有的最迅速盜竊數據的神器StealBit,能在不到 20 分鐘內從受感染的系統迅速下載 100 GB 的數據。

然而,聯邦調查局(FBI)於2022年2月4日發佈了關於Lockbit 2.0的

入侵指標(IOC)的FBI Flash安全公告。在FBI的公告之後,暗網論壇中的一位用戶發佈了標題為“Kockbit fuckup thread” 的文章,表示發現了在Lockbit 2.0勒索軟體中的錯誤以及恢復受害者數據的方法,對應了FBI的建議以及微軟檢測和回應團隊(DART)對Lockbit的研究。微軟DART研究人員發現和利用在Lockbit 2.0勒索軟體中的錯誤,發現了一種方法,使他們能夠成功恢復Lockit受害者MSSQL資料庫上的加密過程。

Microsoft DART研究的連結:

https://techcommunity.microsoft.com/t5/security-compliance-and-identity/part-1-lockbit-2-0-ransomware-bugs-and-database-recovery/ba-p/3254354

https://techcommunity.microsoft.com/t5/security-compliance-and-identity/part-2-lockbit-2-0-ransomware-bugs-and-database-recovery/ba-p/3254421

一名Lockbit 勒索軟體成員針對文章發表了評論,解釋了 MSSQL 含錯誤(bug)的原因,該Lockbit成員還說Lockbit 3.0中不會存在該錯誤。

3 月 17 日,資安研究團隊 vx-underground發布了他們與 LockBit 的一位成員對話的截圖。在截圖中,vx-underground 研究人員詢問何時會發布 Lockbit 3.0,Lockbit 成員表示最新版本將在一兩週內發布。

然而,自 vx-underground 在Twitter上發布他們與 Lockbit 成員的對話以來已經幾週了,根據觀察勒索軟體集團仍在使用 Lockbit 2.0 的名稱,Lockbit 3.0 的其他新功能和升級仍然是個謎,竣盟科技將持續關注 Lockbit 3.0 的更新,為您帶來最新的消息。

有關LockBit2.0的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://45.32.108.54:443/c0000015.log

http://45.32.108.54:443/glib-2.0.dll

IPv4: 149.28.137.7

SHA 1:

e35a702db47cb11337f523933acd3bce2f60346d

729eb505c36c08860c4408db7be85d707bdcbf1b

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

1458421f0a4fe3acc72a1246b80336dc4138dd4b

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

攻擊者在佈署LockBit勒索軟體前,已在美國政府的內部網路潛伏長達五個月

Posted on by blogadmin

安全研究人員發現,攻擊者入侵了美國地方政府機構的網路,在 LockBit 勒索軟體最終部署之前,駭客至少潛伏了五個月。Sophos研究人員從受感染機器中檢索到的日誌顯示,在部署payload之前,可能至少有兩組駭客在該政府機構的受感染網路上活躍。攻擊者試圖通過刪除事件日誌來刪除他們的踪跡,但檔案片段仍然允許威脅分析人員一睹攻擊者及其策略,Brandt 稱,雖然起初攻擊似乎是由看似新手的攻擊者執行的,不確定下一步該怎麼做,但後來可能有一組不同的攻擊者部署了勒索軟體,竊取數據並加密檔案。

研究人員表示這是一次非常混亂的攻擊,從最初的入侵事件發生大約4個月後,攻擊活動的性質發生了變化,顯示具有不同技能的攻擊者已經加入了戰場。在Sophos的分析報告中,2021 年9 月發生的攻擊的初始入侵點似乎是防火牆上的一個開放遠端桌面協定 (RDP) 端口,該端口被配置為提供對伺服器的公開存取。

在獲得初始公開存取權限後,攻擊者安裝了 Chrome 瀏覽器,以在受感染的伺服器上搜索和下載所需的工具。該工具集包括用於暴力破解、掃描、商業 VPN 的實用程式,以及允許檔案管理和命令執行的免費工具,例如 PsExec、FileZilla、Process Explorer 和 GMER。此外,駭客還使用了遠端桌面和遠端管理軟體,例如 ScreenConnect以及AnyDesk。在駭客竊取了同樣擁有網域管理員權限的本地伺服器管理員的憑證後,便在其他系統上建立了具有管理員權限的新帳戶。

研究表明,攻擊者的行為在 2022年1 月中旬發生了顯著變化,出現更加熟練和專注的活動,顯示一個更老練的攻擊者出現並接管了控制權。攻擊者利用目標在完成維護後無意中禁用了保護功能這一點,刪除了惡意加密礦工並卸載了安全軟體,然後收集並竊取數據並部署 Lockbit 勒索軟體,但幸運的是勒索軟體攻擊的成功有限,攻擊者未能加密某些機器上的數據。研究人員表示在一些機器上,雖然檔案已用 LockBit 的檔案重新命名,但攻擊者沒有完成他們的任務,並未進行加密。

最後,這個案例強調了維護和事件回應錯誤的問題,即使在緊急情況下也需要遵循安全檢查清單。

另外,根據在LockBit揭秘網站上的觀察,本週出現兩個在亞洲地區的受害者包含日本測試設備製造商Tokyo Plant co和新加坡的Bread Talk麵包物語。

有關LockBit勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

6684e1df360db67719f65bcd39467cc88bbd7bb910636d03071245b622e7cfa3

87bfb05057f215659cc801750118900145f8a22fa93ac4c6e1bfd81aa98b0a55            

db385ea6858db4b4cb49897df9ec6d5cc4675aaf675e692466b3b50218e0eeca

3d0e06086768500a2bf680ffbed0409d24b355887169b821d55233529ad2c62a

0d31a6d35d6b320f815c6ba327ccb8946d4d7f771e0dcdbf5aa8af775576f2d1

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日本月桂冠株式會社的核心系統遭勒索軟體入侵,下單及出貨中斷,另外,驚見台灣某飲料製造商遭LockBit攻擊!

Posted on by blogadmin
月桂冠&台灣某飲料製製造商

日本大型清酒公司月桂冠4月6日公告,其內部系統的伺服器遭勒索軟體入侵,部分數據已被加密,並使其系統無法正常運作,月桂冠在4 月 2 日確認了由勒索軟體攻擊的未經授權存取,並於 4 月 3 日通過中斷相關伺服器與外部網路的連接來應對,然而攻擊影響了公司的訂單和發貨系統,根據日經和NHK等日本媒體的報導,由於暫停所有受影響的系統,使月桂冠延後與客戶和供應商的部分交易,另外經月桂冠證實,在其員工電腦及伺服器上發現勒索信,目前聯同外部鑑識專家針對銷售和其他系統的影響、勒索軟體的攻擊途徑以及可能被非法存取的資料內容等進行調查,該公司公關表示目前沒有證據顯示有任何資料外洩,然而也沒有透露是哪種勒索軟體所引起。

據悉,月桂冠還未確認對其郵件伺服器的未授權存取,目前以中斷互聯網連接作為對策,因而影響日常工作的運作,另一方面,月桂冠將從4月7日起恢復訂單,使用電話和傳真機代替發生問題的訂單及出貨系統。

月桂冠子公司,生產食品製造商kinrei corporation也宣布,由於其伺服器和營運外包給母公司月桂冠管理,已確認部分伺服器也因未經授權的存取而出現系統故障,並表示正在配合母公司採取相應措施。

月桂冠子公司kinrei corporation的公告

插播報導,竣盟科技在LockBit的暗網揭秘網站上,發現我國某一飲料原物料商,已被LockBit列為受害者,並將於4月10日公開該飲料製造商的所有數據,但LockBit暫無䆁出任何截圖或透露所盜的數據量,該製造商總部位於台北,在上海及泰國也設有分公司,目前其官網運作正常。

美國聯邦調查局(FBI)於2021年9月預警食品供應鏈的攻擊升溫,勒索軟體積極瞄準攻擊及中斷食品/農業供應鏈,以造成經濟損失並直接影響食品供應鏈的正常運作,呼籲業者要加強資安防護來因應這類攻擊。

有關LockBit勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d

2f18e61e3d9189f6ff5cc95252396bebaefe0d76596cc51cf0ade6a5156c6f66

4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0

07a3dcb8d9b062fb480692fa33d12da05c21f544492cbaf9207956ac647ba9ae

bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e

ced3de74196b2fac18e010d2e575335e2af320110d3fdaff09a33165edb43ca2

107d9fce05ff8296d0417a5a830d180cd46aa120ced8360df3ebfd15cb550636

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

知名輪胎生產商普利司通Bridgestone遭網路攻擊,系統下線,美國多間工廠停工,幕後黑手指向LockBit2.0勒索軟體

Posted on by blogadmin

Viasat 和 豐田的供應商遭遇網路事件後,總部位於日本的輪胎製商普利司通在2月28日公佈,旗下普利司通美洲(Bridgestone Americas)遭到網路攻擊,導致在美國伊利諾伊州、愛荷華州、北卡羅來納州、南卡羅來納州和田納西州的輪胎製造工廠以及加拿大的工廠停工。

正如媒體報導,Bridgestone Americas在發現入侵後不久,就開始調查此事,聲明中說:

“Bridgestone Americas目前正在調查一起潛在的資安事件。自2月27日凌晨得知發生事件以來,我們已展開全面調查,以迅速收集證據,同時努力確保我們的IT系統的安全性。出於謹慎考慮,我們將拉丁美洲和北美的許多工廠與內部網路斷開連接,以遏制和防止任何潛在的影響。”

雖然該公司迅速分享了一份新聞稿,向公眾通報知了此事,但​​它還沒有透露很多細節,直到2022 年 3 月 3 日,只有維修部、倉庫部、收貨部和 MRC 實驗室等部門的工作人員可上夜班。

普利司通是一家日本跨國公司,也是世界上最大的輪胎製造商。普利司通美洲公司在加拿大、中美洲、拉丁美洲和加勒比地區擁有50多個生產設施,並了大約55,000名員工。

根據觀察,操作LockBit的背後駭客已在其揭秘網站上公佈Bridgestone Americas為其新增的受害者,但目前LockBit並沒有公佈所盜的任何檔案的截圖或樣本,只聲稱會在3月11日發佈盜來的所有數據。

LockBit2.0 是一種現可利用AD群組原則的勒索軟體,能自動加密Windows 網域下所有電腦,駭客不必寫程式進行勒贖軟體部署,只要取得 Windows Server 網域控制器的存取權,就能自動進行傳播,並在網域控制器上建立新的群組原則,將其推送到 Windows 網域中的所有電腦。這些原則包含禁用安全措施,例如 Microsoft Defender 和警報,並阻止操作系統向 Microsoft 提交樣本以避免檢測,以實現持久性。

FBI在2月發布的警告中,建議企業做好以下各種防禦措施:

*要求所有帳戶的登入密碼改為使用強密碼及獨一密碼,不使用重複密碼。

* 盡可能為所有帳戶啟用多重因素驗證 (MFA) 登入審查

*為所有作業系統及軟體安裝最新的系統更新

*詳細檢查涉及管理權限的登入帳戶,移除不必要的員工。

*使用建基於主機的防火牆,只允許必要的管理員通過 SMB 工具連接管理。

*啟用 Windows 系統的檔案保護功能,阻止勒索軟體對重要檔案進行加密。

其他 LockBit 2.0的報導:

LockBit勒索軟體推出了新的招募會員計劃“LockBit 2.0”,稱其最新的工具StealBit是世上最迅速盜竊數據的神器–>https://blog.billows.com.tw/?p=1173

勒索軟體LockBit2.0持續發威,繼曼谷航空、IT顧問巨頭Accenture等遭Lockbit2.0加密後,台灣某製造業大廠也中–>https://blog.billows.com.tw/?p=1350

注意了~繼北市某製造業遭LockBit2.0攻擊,今見台灣上市工程公司也遭殃–>https://blog.billows.com.tw/?p=1411