標籤: LockBIt 3.0

包含機場自動通關系統遭癱瘓

      雅加達政府對外聲明表示，兩個臨時國家資料中心(National Data Center)設施在上週遭受勒索軟體LockBit 3.0的新變種攻擊造成資料中斷與外洩，導致共有210個中央和地方政府機構的資料庫受到攻擊影響，其中包含哈達國際機場的移民處理系統癱瘓，迫使移民官員進行人工檢查，導致旅客長時間等待的諸多不便。

      通訊部長(Budi Arie Setiadi)告訴國家通訊社(Antara)，攻擊者勒索要800萬美金的贖金，以換取解密數據，並強調政府不會支付或遵守這些要求。

      國家網路和加密機構(National Cyber and Crypto Agency)負責人Hinsa Siburian表示，數位鑑識調查人員發現，攻擊者使用現有惡意軟體Lockbit的新變種勒索軟體Brain Cipher。Lockbit是一種阻止使用者存取電腦系統的勒索軟體，經常被駭客組織Lockbit用於對受害者進行數位勒索。駭客很可能停用了該中心的Windows Defender 安全功能，使他們能夠在不被注意的情況下進入系統，然後使用惡意軟體感染目標系統，刪除重要文件，並停用運行的服務。

      根據印尼當地媒體報導，這次攻擊也影響了學校和大學線上招生平台，迫使地方政府延長註冊期限，據報導該勒索軟體總共中斷至少210個本地服務。

      雖然對於駭客襲擊事件的調查還在進行中，印尼當局表示他們已經「隔離」了受感染的地區，但由於系統已加密，他們可用於分析攻擊的工具有限。截至週一(6月24日)，印尼政府正在努力恢復全國範圍內受影響的公共服務，儘管包括護照和落地簽證處理在內的所有移民服務均正常運作。移民局、海事和投資部已於週一恢復服務，但許多其他城市仍處於恢復過程中。

      通訊和資訊部已經將資料暫時儲存在泗水和雅加達的兩個設施中，同時正在建造新的資料中心，以整合中央和地區各級政府機構的資料。這些設施由上市國有電信公司PT Telkom Indonesia的子公司Telkomsigma營運。

      在警方於二月關閉其勒索網站之前，LockBit是最猖狂的勒索軟體活動之一。僅僅三個月後，網路犯罪分子似乎又復活了它。網路安全分析師Dominic Alvieri 表示，這並不是印尼的資料中心第一次成為駭客的目標。2023年，ThreatSec 組織聲稱入侵了該中心的系統，據稱竊取了包括犯罪記錄在內的敏感資料。印尼另一起影響該國最大伊斯蘭銀行BSI的重大資料外洩事件就是由LockBit造成的。據報導去年5月，駭客竊取超過1500萬BSI客戶和員工的個人資訊。

      網路安全專家Ardi Sutedja告訴「雅加達郵報」表示，政府未能確保國家數位基礎設施達到最高安全標準。從事件的規模來看，這不再只是技術中斷，而是一場巨大的災難。他表示，長達數天的恢復時間令人擔憂，因為數位事件的標準恢復時間不應該超過24小時。

Lockbit的新變種Brain Cipher相關的部分的入侵指標（IOCs）:

9cb96848386327410ca588b6cd5f6401    

968c4ae64dcb71c9eeffd812ef38a69d5548b3bb               

0ed5729655b3f09c29878e1cc10de55e0cbfae7ac344f574d471827c256cf086

      據Cyber Express外媒報導國際頭號勒索軟體組織LockBit 聲稱入侵Allied Telesis，並於2024年5月27日洩露了該公司的設計藍圖、護照及機密協議等敏感資料，並宣稱於6月3日將發佈全面的資料。而Allied Telesis公司尚未對外說明證實或反駁所謂的駭客攻擊所造成的公司重要敏感資料外洩事宜。

國外相關執法機構先前於2024 年 2 月曾針對LockBit造成的危害嚴重性，關閉與LockBit操作相關的伺服器、沒收管理面板權證、附屬網路資訊和加密貨幣交易等關鍵行動。迄今顯然沒有嚇阻效用，LockBit目前持續更新在加密工具和伺服器的攻擊手法，持續擴大勒索行徑。

LockBit通常會透過Email、惡意程式下載、釣魚網站或漏洞入侵系統再做橫向移動擴大影響範圍，如此造成的攻擊破壞性強大，利用零時差攻擊成功入侵電腦後便竊取檔案加密，對備份檔案進行刪除，強化威脅力道並以公開敏感機密資料威脅勒索企業或組織，常以加密貨幣作為贖金支付。

      國際虛擬貨幣飆漲，也加劇了加密勒索事件頻繁，最近台灣設備大廠也陸續遭受機密資料被竊取勒索的重大資安威脅。企業除了加強使用者與主機管理者的資安防護警覺外（防火牆版本與設定即時更新、提升密碼設定強度、機密或客戶資料的網域做適當隔離），面對狡猾的LockBit網路攻擊手法，單一的安全防護措施是不足的。

與其被動攻擊不如主動防禦，主動式的資安防護已是當前不可或缺的防禦手法，竣盟科技的主動式欺敵、誘捕的資安防護機制近期陸續為各企業與機關單位所採納與建構，有效的資安防禦才是幫助企業降低資安風險及保護核心資產。

以下提供LockBit相關的部分的入侵指標（IOCs）:

Key Points:

*2/20由執法合作夥伴組成的國際組織表示，中斷了LockBit 勒索軟體的運作，奪取了近代史上最多產的勒索軟體組織的基礎設施。

*美國司法部與英國當局和其他國際執法機構合作，對兩名俄羅斯公民 Artur Sungatov 和 Ivan Kondratyev 提出起訴，指控他們針對美國眾多公司和世界各地目標部署了LockBit。

*FBI 和英國國家犯罪局與多個合作夥伴合作，也查獲了 LockBit 使用的眾多面向公眾的網站和伺服器。當局獲得了解密金鑰，這將使數百個受害組織能夠重新獲得被盜的資料。

*LockBit客製化的資料外洩工具StealBit的基礎設施已被三個國家的當局扣押

國際執法機構週二(2/20)宣布擾亂並搗毀 LockBit，歐洲刑警組織稱其為「世界上最大的勒索軟體操作」。由英國國家犯罪局 (NCA) 領導的國際執法機構聯盟，作為克諾司行動(Cronos Operation)的一部分，摧毀了 LockBit 的基礎設施，這是一項為期數月的努力，旨在制止勒索軟體即服務(RaaS)的活動，以消除其犯罪行為。該機構在聲明中表示：“今天，在滲透到該組織的網路後，NCA 已經控制了 LockBit 的服務，從而搗毀了他們的整個犯罪事業。 ” 除了破壞行動之外，歐洲刑警組織還採取了其他協調行動，包括週二上午在波蘭和烏克蘭逮捕了兩名 LockBit 成員，並凍結了與該組織有關的 200 多個加密貨幣帳號。

據歐洲刑警組織稱，這次行動逮捕了兩人，凍結了 200 多個加密貨幣帳號，控制及關閉了34台伺服器，並刪除了 14,000 個流氓帳號。此外，執法機構表示「允許 LockBit 服務所有要素運作的技術基礎設施」和洩密網站已被接管。目前，尚不清楚被扣押的 200 個錢包中儲存了多少加密貨幣。然而，支付贖金的受害者現在可能可以收回部分勒索軟體付款，就像聯邦調查局之前為殖民地管道(Colonial Pipeline)所做的那樣。

「目前，執法部門掌握了整個調查過程中收集的大量數據。這些數據將用於支持正在進行的國際行動活動，重點是該組織的領導人，以及與這些犯罪活動有關的開發商、附屬會員、基礎設施和犯罪資產，」歐洲刑警組織表示。

兩名駭客分別是Artur Sungatov 和Ivan Kondratyev（也稱為Bassterlord）於波蘭和烏克蘭被捕。此外，法國和美國當局還發出了三份國際逮捕令和五份起訴書。 美國表示，已對兩名涉嫌與 LockBit 勒索軟體有關聯的人提出指控，他們已被拘留並等待引渡，並公佈了對兩名被指控密謀發動網路攻擊的俄羅斯國民的起訴書。NCA在自己的新聞稿中表示，已經控制了LockBit使附屬

會員能夠建立和部署攻擊主要的管理環境。」「透過我們的密切合作，我們已經攻擊了駭客； NCA 總幹事 Graeme Biggar 表示：“控制了他們的基礎設施，奪取了他們的源代碼，並獲得了幫助受害者解密系統的密鑰。”

「截至今天，LockBit已被鎖定。我們損害了這個依賴保密和匿名的組織的能力，尤其是其可信度。」Biggar補充道。 “我們的工作並不止於此。 LockBit 可能會尋求重建他們的犯罪企業。然而，我們知道他們是誰，以及他們如何運作。” 據Eurojust和 DoJ 稱，LockBit 攻擊據信影響了全球 2,500 多名受害者，並賺取了超過 1.2 億美元的非法利潤。作為克諾司行動的一部分，執法部門還 從被扣押的 LockBit 伺服器中獲得了1,000 多個解密金鑰。使用這些解密金鑰，將使受害組織能夠恢復被加密的資料。此外，日本警方、NCA 和聯邦調查局 (FBI) 在歐洲刑警組織的支持下開發了 LockBit 3.0勒索軟體解密工具，並已在No More Ransom平台釋出，將使受害組織能夠恢復被加密的資料。根據NCA，在接下來的2到3天裡，將會有許多消息披露，但最誘人的是 LockBit 的領導人兼發言人 LockBitSupp面紗即將被揭開。

網路和惡意軟體研究安全團隊Vx-Underground在 X上稱，執法行動似乎針對的是“每個已知的Lockbit 勒索軟體網站”，至少有22 個Tor 網站處於離線狀態或顯示扣押訊息。 Vx-Underground 聲稱已獲得 LockBit 管理人員被攻陷的確認，網路犯罪分子聲稱執法部門利用了追蹤為CVE-2023-3824 的PHP遠端程式碼執行漏洞來控制其系統。 然而，駭客聲稱只有使用 PHP 的伺服器受到 FBI 的攻擊，但不使用 PHP 的備份伺服器據稱並未受到影響。現在當LockBit附屬會員登入勒索軟體儀表板時，會收到一條消息，通知他們LockBit平台已受到執法部門的控制，調查人員已獲得原始碼、受害者資料、勒索的金額、所竊取的資料，以及聊天紀錄等。

LockBit是「勒索軟體即服務」模式的先驅，將目標選擇和攻擊外包給半獨立「附屬會員」，為他們提供工具和基礎設施，並收取贖金佣金作為回報。許多勒索軟體駭客位於俄羅斯，該國網路犯罪活動猖獗，而且不引渡本國公民，這讓受害者居住國當局感到沮喪。美國司法部對俄羅斯國民 Artur Sungatov 和 Ivan Kondratyev 提出了起訴書（首次公開點名），並表示一名在逃的俄羅斯網路犯罪嫌疑人 Mikhail Matveev 也參與了 Lockbit。去年，美國國務院懸賞1000 萬美元尋找導致他被捕的資訊。由於這些核心嫌疑人似乎仍然可以在俄羅斯自由活動，因此毫無疑問他們可以重建 LockBit的帝國，然而這次行動的內容削弱了駭客對犯罪生態系統的信任。

更多的資訊，請參考NCA新聞稿和影片; 以及美國司法部長 Merrick Garland YouTube 影片

 “轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

1 月 16 日，鴻海科技集團旗下半導體零件製造子公司京鼎精密的網站被勒索軟體組織劫持，顯示要洩露該公司客戶個人資訊和員工資訊。這是第一次本地大型企業成為被勒索軟體篡改網站的受害者。

京鼎遭LockBit入侵，駭客挾持京鼎公司網站

根據聯合報的報導，操作勒索軟體LockBit的 駭客還直接在網頁上留下兩大段訊息，第一段訊息是告知客戶，駭客集團已拿下京鼎的客戶資料，如果京鼎不付錢，那麼，客戶的所有個人資料都將被公開在網路上，第二段訊息則是告知員工，如果京鼎管理階層不與駭客集團聯繫，那麼，駭客將會摧毀京鼎所有的資料，而且這些資料將不能恢復，這恐怕會讓員工失去工作

後京鼎在提交給台灣證券交易所的一份重訊聲明中表示，在檢測到攻擊後不久，該公司於下午恢復了其網站，並補充說正在與安全專家合作。京鼎在聲明中表示，該公司的初步評估顯示，該事件不會對其營運產生重大影響。

該公司並未透露有關駭客索要贖金的任何資訊。該公司也沒有說明其客戶或員工的任何個人資訊是否被洩露。

鴻海透過其子公司持有京鼎約 15.22% 的股份。台灣應用材料公司持有該公司8.36%的股份。

Check Point發布的報告顯示，去年前三季全球每週網路攻擊數量每年增加 3%。台灣是遭受駭客攻擊最多的地區，平均每週發生 1,509 次攻擊。

LockBit 勒索軟的部分入侵指標(Indicator of compromise -IOCs):

6e8ca501c45a9b85fff2378cffaa24b2

eb842a9509dece779d138d2e6b0f6949

a54af16b2702fe0e5c569f6d8f17574a9fdaf197

17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994

498ba0afa5d3b390f852af66bd6e763945bf9b6bff2087015ed8612a18372155

906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6