又傳台灣上市企業遭LockBit攻擊 自動化設備大廠疑遭殃

某台灣著名的智慧自動化設備大廠,據稱已成為臭名昭著的 LockBit 勒索軟體組織的受害者。12 月 4 日,操作LockBit勒索軟體的背後駭客在其揭秘網站上,發布了對有關自動化設備大廠網路攻擊的訊息,目前駭客並沒有公開截圖、所盜的數據量及任何攻擊的細節,然而卻發出最後通牒,威脅要在 2023 年 12 月 8 日曝光該大廠的敏感資料。據觀察該網站似乎可以正常運行,沒有明顯的網路攻擊跡象,攻擊是否針對的是該公司的資料庫,暫仍不得而知。

LockBit 勒索軟體組織是誰?

LockBit 勒索軟體組織是一個以勒索軟體即服務 (RaaS) 模式運作的網路犯罪組織,因其雙重勒索策略而臭名昭著。這涉及對受害者數據進行加密並威脅要外洩露數據,除非駭客的贖金要求得到滿足。

根據多個政府機構的聯合聲明,LockBit 勒索軟體組織被評為2022 年全球最多產的勒索軟體,佔44 %全球勒索軟體事件。光是在美國,2020 年 1 月至 2023 年 5 月期間,LockBit 勒索軟體組織就參與了約 1,700 起勒索軟體攻擊,累積了高達 9,100 萬美元的贖金。值得注意的是,該組織仍然出於經濟動機,沒有正式歸屬於任何特定的國家,但一般認為LockBit與俄羅斯有關聯。

LockBit 勒索軟體組織因其研發的「StealBit」(一種自動提取資料的惡意軟體工具)而引起關注。該工具與更版的LockBit 2.0 一起發布,具有快速且高效的加密功能。LockBit稱其該工具是世上最迅速盜竊數據的神器。此外,LockBit透過推出 Linux-ESXI Locker 1.0 版擴大了其影響範圍,目標是Linux主機,特別是 ESXi 伺服器。2022 年 6 月,LockBit打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號,推出3.0新版

2023 年 11 月,美國CISA、FBI 警告企業LockBit針對名為Citrix Bleed漏洞(CVE-2023-4966,CVSS風險評分為9.4)的零時差漏洞),作出廣泛利用。LockBit 的廣泛影響力遍及全球各個行業,包括醫療保健和教育部門成為主要目標。根據趨勢科技的數據,美國、印度和巴西位居最常遭受 LockBit 惡意活動的國家名單之首。

台灣高科技產業無疑也是駭客的攻擊目標:

2023年11月北韓駭客Diamond Sleet針對台灣訊連科技用戶發動供應鏈攻擊

2023年11月Hunters International勒索軟體入侵台灣上市生醫

2023年8月勒索軟體NoEscape攻擊台灣上市電子公司,盜走50GB的數據

2023年4月微星(MSI)遭Money Message 勒索軟體入侵,被勒索約1億2千萬新台幣

2023年3月Acer約160Gb資料遭駭客兜售

2022年12月傳出LockBit入侵台灣汽機車機電系統整合大廠及觸控面板大廠

2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金

2021 年 10 月 18 日, Desorden Group駭入宏碁台灣的系統,盜走並釋出Acer員工的敏感資料

2020年 10 月研華科技遭Conti勒索軟體入侵,約1300萬美元

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 www.billows.tech , 以免觸法”

加拿大政府因其外包商遭到駭客攻擊 證實資料外洩

屬於數量不詳的加拿大政府僱員的敏感資料因針對兩家政府外包商的網路攻擊而被外洩,據了解,入侵行為發生在上個月,為加拿大政府員工提供搬遷服務的供應商 Brookfield Global Relocation Services (BGRS) 和 SIRVA Worldwide Relocation & Moving Services(SIRVA)成為網路攻擊的受害者。負責所有加拿大聯邦僱員的財政部在周五的聲明中披露了這一消息,聲明稱,加拿大政府正在分析「大量」數據,但初步調查顯示,洩露的資訊可能屬於早在 1999 年就使用過搬遷服務的任何人,當中包括加拿大武裝部隊成員、現任和前任聯邦員工以及加拿大皇家騎警人員的資料。

BGRS 為公家機關和私人企業提供搬遷服務,為調到新職位的員工提供協助。SIRVA Canada 系統處理實際的搬家服務。據 BGRS 網站稱,該機構每年監管超過 20,000 起搬遷案件。超過 8,000 家供應商支援其搬遷方案。兩家公司關係密切。去年,SIRVA Canada 的美國母公司 SIRVA Inc. 和 BGRS共同建立了一家新公司,名為 SIRVA BGRS Worldwide

10月20日,CBC新聞報導,國防部已向員工發出內部說明,警告BGRS遭受了一起資安事件,該說明是在一些軍人發現BGRS線上入口網站不能使用。國防部的那份說明也被公開,稱9月29日,政府被告知發生了一起“事件”,但到10月19日,確認未經授權存取了BGRS持有的資訊。聲明稱,這些數據由 BGRS 和 SIRVA的IT 系統持有。

雖然加拿大政府尚未確定該事件的來源,但 LockBit 勒索軟體已聲稱對破壞 SIRVA 系統負責,並洩露了他們聲稱包含 1.5TB 盜竊資料的檔案。LockBit 也公開了與所謂的 SIRVA 代表談判失敗的內容。據LockBit稱,他們已洩露超過1.5TB 的資料,當中包括3 個SIRVA分公司(歐盟、北美和澳洲)的3 個CRM 完整備份。10 月 19 日,加拿大政府獲悉承包商的資安事故後,政府立即向加拿大網路安全中心和隱私專員辦公室等相關當局報告了該漏洞。

為了應對資安事故,加拿大政府正在採取積極主動的預防措施,上週五發表的一份聲明稱,加拿大政府不會靜待調查的結果,而是採取積極主動的預防措施來支持那些可能受到影響的人。 政府為過去 24 年來隨 BGRS 或 SIRVA Canada 調動的現任和前任公務員、加拿大皇家騎警和加拿大武裝部隊成員提供信用監控或重新簽發有效護照。

以下是政府向可能受影響的個人提供的建議:

*更新可能與 BGRS 或 SIRVA Canada 使用的登入憑證類似的登入憑證

*對用於線上交易的帳戶啟用多重身份驗證

*監控財務和個人線上帳戶是否有任何異常活動

LockBit的部分入侵指標(Indicator of compromise -IOCs):

fb49b940570cfd241dea27ae768ac420e863d9f26c5d64f0d10aea4dd0bf0ce3

b3ea0f4f442da3106c0d4f97cf20e244b84d719232ca90b3b7fc6e59e37e1ca1

45c317200e27e5c5692c59d06768ca2e7eeb446d6d495084f414d0f261f75315

27b8ee04d9d59da8e07203c0ab1fc671215fb14edb35cb2e3122c1c0df83bff8

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階欺敵系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

LockBit再度出手!波音公司陷入資料外洩危機

LockBit 勒索軟體組織,或許是世界上運作最嚴密的網路犯罪組織之一。這個組織不僅成功滲透各種組織,而且其嚴格的方法確保它獲得所需的目標。根據美國網路安全和基礎設施安全局 (CISA) 的資料,LockBit 勒索軟體是2022年部署最廣泛的勒索軟體變體,而且預計在2023年持續威脅擴散。它主要瞄準的是關鍵基礎設施,包括金融服務、食品和農業、教育、能源、政府和緊急服務、醫療保健、製造和運輸等行業。

LockBit 勒索軟體的攻擊方式也因其勒索軟體即服務模式而聞名,其戰術、技術和程序(TTP, Tactics, Techniques, and Procedures)可謂五花八門。這種TTPs的多樣化對於致力於維護網路安全和防範勒索軟體威脅的組織構成了重大挑戰。

在澳洲,LockBit 勒索軟體佔據了2022年4月至2023年3月的勒索軟體事件總數的18%。這個數字包括所有LockBit勒索軟體的變體,而不僅僅是LockBit 3.0。2022年,LockBit還占據了加拿大22%的勒索軟體事件,而紐西蘭的CERT則接到了15份LockBit勒索軟體報告,佔2022年勒索軟體報告的23%。

根據FBI的統計,美國已發生約1,700起LockBit事件。自2020年1月5日首次在美國觀察到LockBit活動以來,美國已支付約9,100萬美元的贖金。

LockBit 勒索軟體首次被發現於2019年9月。然而,在過去幾年中,這個勒索軟體不斷升級,變得更加具有威脅性。

以下是重點介紹LockBit勒索軟體的不同變種:

  1. LockBit – 這是最初版本,使用原始的.abcd副檔名,以極快的速度加密文件,只需五分鐘。
  2. LockBit 2.0 – 由原始LockBit變體演進而來,提高了解密字串和代碼的速度,以避免偵測。一旦取得管理權限,加密過程即開始。
  3. LockBit 3.0 – 在2022年6月下旬推出,延續了提高加密速度以避免安全偵測的趨勢。這個惡意軟體使用反分析技術、密碼執行和命令列增強。LockBit 3.0還引入了首個有記錄的勒索軟體漏洞賞金計劃,鼓勵用戶和安全研究人員報告漏洞,以換取經濟獎勵。
  4. LockBit Green – 最新的變體,針對Windows環境的標準勒索軟體變體。
  5. Mac版LockBit – 在2023年5月,發現LockBit已開始開發LockBit勒索軟體的macOS版本,不過它無法輕易在設備上運行。

最新的LockBit目標是波音公司, LockBit聲稱擁有這家飛機製造商的大量敏感資料。根據資安研究團隊vx-underground的消息,它已與 LockBit 成員進行了交談,LockBit聲稱使用了零日漏洞來存取資料,然而沒有提供有關攻擊鏈或據稱由 LockBit洩露的資料性質的更多細節,也沒有具體說明它從波音公司竊取了多少數據,也沒有提供有關其尋求支付的贖金的詳細資訊,但公開了波音公司的倒數計時器,最後期限設於11月2日。

Photo Credit: VX-UNDERGROUND

波音發言人表示,公司正在評估這一聲稱,即目前沒有核實或否認這說法。除了民用飛機,波音還在全球設計、製造和銷售旋翼飛機、火箭、衛星、電信設備和飛彈,並提供租賃和產品支援服務。目前尚不清楚哪些地區受到了LockBit勒索軟體組織的威脅。2022年11月初,波音的全資子公司、航班規劃工具商Jeppesen遭到網路攻擊事故,導致該公司提供的部分產品及服務面臨技術問題,造成北美、中東等多家航空公司的部分航班規劃被迫中斷、航班延誤。

波音公司目前正在評估 LockBit 說法的真實性,考慮到波音所服務的公共和私營部門涉及的高風險,迅速採取行動和開放溝通對於前進至關重要。

日本最大港口-名古屋港作業系統遭LockBit勒索軟體攻擊而中斷

勒索軟體攻擊引起貨櫃搬運系統不能操作,導致無法裝卸貨櫃,貨櫃車在港口附近大排長龍。

日本最大的港口名古屋港遭受LockBit勒索軟體攻擊,其運營受到嚴重影響。根據朝日電視台,位於伊勢灣的名古屋港是日本最大、最繁忙的貿易港口,約佔日本貿易總額的10%。值得注意的是,這個港口是日本最大的汽車出口地,也是豐田汽車公司出口大部分汽車的地方。該港口遭受勒索軟體攻擊,影響了貨櫃碼頭的運營。據管理系統的名古屋港運協會證實,7月4日上午6點30分左右,當時一名員工無法存取名古屋聯合終端系統 (Nagoya United Terminal System-NUTS),該系統用於操作該港口的五個貨運碼頭。因網路攻擊引起貨櫃搬運系統不能操作,導致無法裝卸貨櫃,貨櫃車在港口附近大排長龍。據稱,由於駭客遠端地向印表機發送了超過100份英文勒索信,該信上出現LockBit字樣,可推斷攻擊來自LockBit勒索軟體集團,然而仍不清楚勒索贖金。

Photo Credit : 朝日電視台

根據日經的報導,名古屋港計劃於7月5日下午6:00前恢復系統,力爭7月6日上午8:30起恢復裝卸工作。在此之前,所有使用貨櫃車在碼頭進行的裝卸貨櫃作業均已取消,給港口造成了巨大的財務損失,並嚴重擾亂了進出日本各地的貨物流通。以名古屋港為進出口據點的日本豐田汽車表示,事故導致零部件裝卸作業無法進行,但暫時未有妨礙生產。這是名古屋港第二次遭到網路攻擊。去年 9 月,親俄羅斯組織 Killnet針對該港口發起的大規模分散式阻斷服務 (DDoS)攻擊,導致該港口網站關閉。這次LockBit的攻擊無疑是向名古屋港發出的一個警告信號,表明其系統需要徹底地進行網路安全檢修。

LockBit聲稱駭入台積電?! 勒索7千萬美元!

台積電則表示只是其供應鏈中的一個廠商遭入侵

臭名昭著的勒索軟體集團於今天(6月30)在其暗網揭秘網站上宣布,已入侵台積電並要求高達7千萬美元的贖金以換作不散播盜來的資料。LockBit聲稱若台積電拒絕付款,將公佈入侵該企業網路的切入點、密碼和公司登錄帳號,然而該貼文並未公佈包含任何數據樣本或其他表明攻擊者可能掌握的資料類型,但LockBit已設定支付贖金的最後期限為 8 月 6 日。

根據國外資安媒體SecurityWeek,台積電最近獲悉其供應商經歷了一場資安事件,導致與初始伺服器設定和配置相關的資料遭到外洩。然而,台積電則表示因所有進入其公司之硬體設備包括其安全設定皆須在進廠後通過公司完備程序做相對應的調整,包括安全配置。經審查,該事件並未影響台積電的業務運營,也沒有外洩任何台積電的客戶資料。事件發生後,台積電已根據公司的安全協議和標準操作程序立即終止與該供應商的數據交換。據了解,遭攻擊的供應商是台灣的擎昊科技(Kinmax Technology),一家提供IT、SI系統諮詢與整合服務的廠商。根據經濟日報擎昊科技也已發布聲明如下:

「本公司於 2023 年 6 月 29 日上午,發現公司內部特定測試環境中,遭受外部團體之網路攻擊,並擷取相關資訊,資訊內容主要為本公司為客戶提供之各式系統裝機準備資訊,因揭露之資訊中出現特定客戶之名稱,造成客戶之困擾,除先向受到影響之客戶致歉外,本公司已就此次資安事件進行排查與防護強化,特此通知。」

後續該公司也特別針對該資安事件在其官網發出說明的公告:

LockBit 勒索軟體集團自 2019 年以來一直存在,並以其同名惡意軟體而聞名。自 2022 年初以來,該集團一直在勒索軟體領域佔據主導地位,成為市場上最多產的勒索軟體集團。它主要採用勒索軟體即服務模式(RaaS),將部分贖金利潤支付給實施攻擊的會員,這個臭名昭著的勒索集團擁有 1,800 多名受害者。

傳出中國日報及台灣上市氣動元件大廠遭LockBit的毒手

竣盟科技於本週二(5/17)在LockBit的揭秘網站上發現兩家值得關注的受害者分別是台灣某上市氣動元件大廠及中國日報,根據LockBit網頁,該台灣氣動元件廠商,總部位於台北,系全球知名專業氣動器材供應商;主要生產電磁閥、氣缸等各類氣動元件和輔助元件等,該公司的官網也提及到其分司、硏發中心、生產基地、物流中心等遍佈意大利、美國、日本、泰國、和中國等地。目前該公司的六份資敏檔案遭LockBit公開作為入侵的證據。LockBit 聲稱如果在5月30日前未達成協議,將分佈所有盜來的資料,然而暫未提供資料量及勒索金額。

本週另一個亞太地區的受害者引起了我們注意的是,被稱為中國第一份全國英文報紙的中國日報(China Daily ),目前中國日報官方網站仍可以存取,沒有連結失敗的跡象。中國日報是中國發行量最大的英文報紙。根據Cybernews的報導,中國日報在2014正式由中國國務院新聞辦公室 ( The State Council Information Office ) 管理。據報導,國新辦經常與《中國日報》的記者和編輯舉行會議,指導他們應該發表的內容。今年 5 月初,《中國日報》香港版在香港大獎 2022 中包攬了五個類別的八個獎項。目前LockBit將中國日報截止日期設定為5 月 22 日,表明該組織可能已對被盜數據提出贖金要求,並威脅要在下週洩露這些數據,只是還沒設置公開而已。

今天,美國宣布懸賞 1000 萬美元,以捉拿名為Mikhail Pavlovich Matveev(又名Wazawaka、m1x、Boriselcin 和 Uhodiransomwar)的俄羅斯駭客,該駭客涉嫌對美國執法機構和醫療保健提供者進行勒索軟體攻擊。美國司法部表示,Mikhail Pavlovich Matveev 還被指控為部署和開發LockBitBabukHive 的核心人物。“據稱,這三個全球勒索軟體活動的成員向受害者提出的贖金要求總額高達 4 億美元,而受害者支付的贖金總額高達 2 億美元。”該部門在一份聲明中表示。

LockBit、Babuk 和 Hive 的核心人物 Matveev

據稱 Matveev 使用這些勒索軟體來加密和劫持眾多受害者的數據以勒索贖金,這些受害者包括醫院、學校、非營利組織和執法機構,例如華盛頓的大都會警察局DC等,美國司法部表示, 自 2020 年初以來LockBit 勒索軟體已被用於針對美國和世界各地的目標發動 1,400 多次攻擊,發出了超過 1 億美元的贖金要求,並收到了超過 7,500 萬美元的贖金。

司法部表示,勒索軟體參與者存取易受攻擊的電腦系統並加密或竊取數據,然後,發送勒索信,要求支付贖金以換取解密數據或不公開發布數據。

Matveev 被控串謀傳輸贖金要求、串謀損壞受保護的電腦和故意損壞受保護的電腦。美國國務院懸賞高達 1000 萬美元,以獲取導致他被捕和定罪的資料。如果罪名成立,Matveev將面臨 20 多年的監禁。

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

國外媒體報導,LockBit宣稱已攻擊台灣某電源供應器製造大廠,暫未得知LockBit所盜的數據量

被設置需支付約台幣1仟5佰萬元方可將數據銷毀或獨家下載

根據英國資安新聞網站TechMonitor於2月10日的報導,勒索軟體集團LockBit在其揭秘網站上發布了據稱屬於全球電源產品製造商某某科技的頁面,LockBit表示,若總部位於台灣的某某科技未於付贖金截止日期 2 月 19 日前付款,將發布從該公司哪裡盜來的所有數據。某某科技為電子設備和電動汽車 (Electric vehicles) 生產電源和充電器,並供應給世界各地的客戶,在美國、越南、日本、歐洲等地設有分公司。

LockBit聲稱掌握了該台灣公司大量重要的公司數據,員工和客戶的個人身份資料,此外更進一步指出,取得了比如與客戶的合同協議、銷售數據、出廠產品的項目檔案、財務檔案,以及大量的數據庫。然而,LockBit並未揭露所盜的數據量。TechMonitor稱已就所謂的攻擊聯繫該公司,但尚未收到回覆。值得指出的是根據流出的樣本,LockBit在該台灣公司頁面提供了三個方案:

*支付1千美金,計時器將再延長 24小時

*支付499999美金(約台幣1仟5佰萬元),有關該公司的所有數據將被銷毀,並且從揭秘網站LockBit Leaked Data中刪除

*支付499999美金,獲得獨家下載該公司數據的權限

知名資安研究員Dominic Alvieri 也在其Twitter帳號上指出,該台灣公司遭到LockBit的攻擊

LockBit勒索軟體自2019年推出以來,經歷數次改版,最新版本為LockBit Green,LockBit Green使用了已關閉的勒索軟體Conti外洩的原始碼。由於未有勒索信流出,目前無法判斷該公司是否成為了台灣首家LockBit Green的受害者,LockBit Green的勒索信與 LockBit Black相同;但勒索信檔案名稱則更改為!!!-Restore-My-Files-!!!.txt,經LockBit Green加密的檔案則出現隨機的副檔名,而不是標準的 .lockbit的副檔名。

有關LockBit Green的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

924ec909e74a1d973d607e3ba1105a17e4337bd9a1c59ed5f9d3b4c25478fe11

MD5:

ea34ac6bf9e8a70bec84e37afeea458a

aacef4e2151c264dc30963823bd3bb17

37355f4fd63e7abd89bdc841ed98229f

730f72a73ff216d15473d2789818f00c

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit的變種LockBit Green出現了,此版本採用了基於Conti勒索軟體的加密程式

最近,LockBit勒索軟體集團使用了其他勒索軟體的加密程式,這是繼LockBit Red 和 LockBit Black 之後的最新版本,此版本稱為”LockBit Green”。 據悉,LockBit RaaS 的會員可以使用LockBit portal 上的構建器功能獲得 LockBit Green版本,LockBit Green旨在將基於雲端服務納入其目標,新版本的發布得到了資安研究團隊VX-underground的證實:

VX-underground注意到 LockBit 修改了他們針對ESXI的變種,以繼續將其用作企業網路的入口點,ESXI是VMware開發的一款裸機虛擬化管理程式,用於部署和服務虛擬機。另外,據分析新版本的研究人員CyberGeeksTech,通過對樣本進行逆向工程,發現100% 的LockBit Green是基於Conti勒索軟體外洩的原始碼,但令人困惑的是,LockBit已經擁有屬於自己的加密程式,卻還要選擇基於Conti 建立的有效負載,是否為了於降低開發成本和時間,從而使LockBit RaaS運營商能夠最大限度地提高發布速度以吸引新的會員?!

根據資安公司PRODAFT分享了他們發現的四個 LockBit Green 樣本的 MD5 哈希值和包括可以檢測新變種的 Yara rules,發現LockBit Green使用與以前的 Conti 加密程式相同的命令行參數,並可以確認勒索信已修改為LockBit 3.0的樣式,而不是Conti 的格式。PRODAFT進一步指出,目前至少有5名受害者受到了LockBit Green變種的攻擊,當中包括英國軟體公司ION Trading UK,導致處理清算衍生品的伺服器癱瘓,2023 年 1 月 31 日,ION Trading UK在一份聲明中披露了這一事件,稱其影響了 ION Markets 的一個部門 ION Cleared Derivatives。這次攻擊迫使該公司的美國和歐洲的42 家大客戶轉向手動處理交易,造成嚴重延誤。

LockBit Green的勒索信

值得指出的是LockBit Green 變種使用隨機的副檔名,而不是標準的 .lockbit的副檔名。另外,PRODAFT觀察到Conti勒索軟體集團前會員特別在LockBit Green發布後,呈向使用此版本的LockBit勒索軟體,很有可能是LockBit是基於Conti的變種,使前成員們在使用更如魚得水。

有關LockBit Green的部分入侵指標(Indicator of compromise -IOCs):

MD5:

ea34ac6bf9e8a70bec84e37afeea458a

aacef4e2151c264dc30963823bd3bb17

37355f4fd63e7abd89bdc841ed98229f

730f72a73ff216d15473d2789818f00c

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

LockBit為攻擊加拿大Sickkids醫院道歉,首次釋出免費解密工具,專家稱醫院仍需數月完全恢復系統

臭名昭著的LockBit勒索軟體集團,在承認其會員(Affiliate) 之一是加拿大最大兒科醫院(Sickkids) 網路攻擊的幕後黑手後,罕見地道歉並免費釋出解密工具給與受害醫院。12 月 18 日,多倫多病童醫院 (SickKids ) 遭到勒索軟體攻擊,導致該機構無法存取其許多關鍵系統,該事件影響了醫院內部系統、醫院電話線路和網站。雖然這次攻擊只加密了幾個系統,但 SickKids表示,該事件導致實驗室和影像系統的接收延遲,導致患者等待時間的增加,該醫院同時發出了灰色代碼(Code Grey)警示。截至 12 月 29 日,SickKids說它已重新恢復近 50% 的優先系統(Priority system),包括那些導致診斷和治療延誤的系統。12 月 31 日,LockBit 勒索軟體集團在其揭秘網站發出道歉聲明,LockBit 為這次攻擊道歉並發布了解密工具,LockBit道,“我們對加拿大Sickkids醫院的攻擊正式道歉,並免費提供解密工具,攻擊這家醫院的會員違反了我們的規定,已被封鎖,不能再加入我們的會員聯盟中。”

LockBit為Sickkids醫院提供解密工具
LockBit向Sickkids醫院道歉,SickKids 是多倫多的一家教學和研究醫院,專注於為患病兒童提供醫療保健。

根據Bleeping Computer的及報導,解密工具明顯地只適用於Linux/VMware ESXi系統,不支援 Windows,這表明 LockBit的會員只加密了醫院網路上的虛擬機。Sickkids在 1 月 1日表示,在獲悉勒索軟體組織在網上發布的聲明,其中包括提供免費解密工具以恢復受網路攻擊事件影響的系統,已聘請第三方專家來驗證和評估解密工具,並補充說他們沒有支付任何贖金。目前尚不清楚,為什麼 LockBit花了將近兩週的時間才向 SickKids 提供免費解密,值得注意的是,在過去LockBit也曾針對醫院發動攻擊但並沒有釋出解密工具的紀錄,。例如,在2022年8 月,LockBit向法國醫院 Centre Hospitalier Sud Francilien勒索1000萬美元的贖金在醫院拒付後和最終外洩患者數據。2022年6 月,日本德島縣鳴門市醫院遭LockBit入侵,導致電子病歷無法存取。

Lockbit勒索軟體集團以勒索軟體即服務(Ransomware as a service,RaaS) 的操作來運營,負責建立及維護勒索軟體、加密工具和網站,其會員負責入侵受害者的網路、竊取數據和加密設備,該集團從所有贖金中抽取 20%作為報酬,其餘80%則交給會員。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

注意了! LockBit3.0濫用微軟Defender 載入 Cobalt Strike 的Beacon來感染設備

研究指出微軟Defender 成為 LockBit 3.0 勒索軟體的目標,該勒索軟體通過部署 Cobalt Strike 的Beacon來利用系統並成功避免檢測。根據Sentinel Labs的研究人員表示, LockBit 3.0 勒索軟體濫用 Defender中特殊的 Command Line工具 MpCmdRun.exe 來側載惡意程DLL (DLL Sideloading)。MpCmdRun 負責保護 Windows 免受線上威脅和惡意軟體的入侵,一旦運行惡意 DLL 以解密系統,就會將 Cobalt Strike 信標安裝到設備中。

在這種情況下,最初的網路入侵是通過未修補的 VMWare Horizo​​n 伺服器上的 Log4j 漏洞執行 PowerShell 指令碼來進行的。攻擊過程的方式與和此前曝光的 VMWare CLI 案例幾乎相同,攻擊者實質上是利用Log4j 漏洞從其命令與控制 (C2) 伺服器下載 MpCmdRun.exe、惡意“mpclient”DLL 和加密的 Cobalt Strike 有效酬載檔案,以感染潛在受害者的系統。

LockBit 3.0 攻擊鏈 Photo Credit: Sentinel Labs

MpCmdRun.exe 是一個用於執行 Microsoft Defender 任務的命令行實用程式,它支持掃描惡意軟體、收集資料、還原項目、執行診斷追踪等命令。執行時,MpCmdRun.exe 將下載一個名為“mpclient.dll”的合法 DLL,該 DLL 對於程序正常運行至關重要。

在 SentinelLabs 分析的案例中,攻擊者建立了自己的mpclient.dll武器化版本,並將其放置在優先載入惡意版本 DLL 檔案的位置,再將從 c0000015.log 檔案(加密的Beacon)載入加密的 Cobalt Strike 有效酬載。

在攻擊中使用的元件與Windows Defender命令行工具的相關:

Photo credit: Sentinel Labs

雖然目前尚不清楚 LockBit 成員如何從 VMware 切換到 Windows Defender 命令行工具以側載 Cobalt Strike 的Beacon,但現今使用就地取材 (Living Off-the-Land-LoL)的工具來逃避 EDR 和 AV 檢測非常普遍;因此,企業需檢查他們的安全控制,並追踪可能被攻擊者使用的合法可執行檔案的使用保持警惕。

LockBit 3.0 的部分入侵指標(Indicator of compromise -IOCs):

SHA1      

729eb505c36c08860c4408db7be85d707bdcbf1b

091b490500b5f827cc8cde41c9a7f68174d11302 

e35a702db47cb11337f523933acd3bce2f60346d 

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223