勒索軟體LockBit的新變種攻擊印尼國家資料中心 造成大規模的公共服務遭受影響

包含機場自動通關系統遭癱瘓

Photo Credit: Shutterstock

      雅加達政府對外聲明表示,兩個臨時國家資料中心(National Data Center)設施在上週遭受勒索軟體LockBit 3.0的新變種攻擊造成資料中斷與外洩,導致共有210個中央和地方政府機構的資料庫受到攻擊影響,其中包含哈達國際機場的移民處理系統癱瘓,迫使移民官員進行人工檢查,導致旅客長時間等待的諸多不便。

      通訊部長(Budi Arie Setiadi)告訴國家通訊社(Antara),攻擊者勒索要800萬美金的贖金,以換取解密數據,並強調政府不會支付或遵守這些要求。

      國家網路和加密機構(National Cyber and Crypto Agency)負責人Hinsa Siburian表示,數位鑑識調查人員發現,攻擊者使用現有惡意軟體Lockbit的新變種勒索軟體Brain Cipher。Lockbit是一種阻止使用者存取電腦系統的勒索軟體,經常被駭客組織Lockbit用於對受害者進行數位勒索。駭客很可能停用了該中心的Windows Defender 安全功能,使他們能夠在不被注意的情況下進入系統,然後使用惡意軟體感染目標系統,刪除重要文件,並停用運行的服務。

      根據印尼當地媒體報導,這次攻擊也影響了學校和大學線上招生平台,迫使地方政府延長註冊期限,據報導該勒索軟體總共中斷至少210個本地服務。

      雖然對於駭客襲擊事件的調查還在進行中,印尼當局表示他們已經「隔離」了受感染的地區,但由於系統已加密,他們可用於分析攻擊的工具有限。截至週一(6月24日),印尼政府正在努力恢復全國範圍內受影響的公共服務,儘管包括護照和落地簽證處理在內的所有移民服務均正常運作。移民局、海事和投資部已於週一恢復服務,但許多其他城市仍處於恢復過程中。

      通訊和資訊部已經將資料暫時儲存在泗水和雅加達的兩個設施中,同時正在建造新的資料中心,以整合中央和地區各級政府機構的資料。這些設施由上市國有電信公司PT Telkom Indonesia的子公司Telkomsigma營運。

      在警方於二月關閉其勒索網站之前,LockBit是最猖狂的勒索軟體活動之一。僅僅三個月後,網路犯罪分子似乎又復活了它。網路安全分析師Dominic Alvieri 表示,這並不是印尼的資料中心第一次成為駭客的目標。2023年,ThreatSec 組織聲稱入侵了該中心的系統,據稱竊取了包括犯罪記錄在內的敏感資料。印尼另一起影響該國最大伊斯蘭銀行BSI的重大資料外洩事件就是由LockBit造成的。據報導去年5月,駭客竊取超過1500萬BSI客戶和員工的個人資訊。

      網路安全專家Ardi Sutedja告訴「雅加達郵報」表示,政府未能確保國家數位基礎設施達到最高安全標準。從事件的規模來看,這不再只是技術中斷,而是一場巨大的災難。他表示,長達數天的恢復時間令人擔憂,因為數位事件的標準恢復時間不應該超過24小時。

Lockbit的新變種Brain Cipher相關的部分的入侵指標(IOCs):

9cb96848386327410ca588b6cd5f6401    

968c4ae64dcb71c9eeffd812ef38a69d5548b3bb               

0ed5729655b3f09c29878e1cc10de55e0cbfae7ac344f574d471827c256cf086

 外媒報導日系網通設備供應商Allied Telesis遭勒索軟體組織LockBit 滲透攻擊 敏感資料外洩

Photo Credit: The Cyber Express

      據Cyber Express外媒報導國際頭號勒索軟體組織LockBit 聲稱入侵Allied Telesis,並於2024年5月27日洩露了該公司的設計藍圖、護照及機密協議等敏感資料,並宣稱於6月3日將發佈全面的資料。而Allied Telesis公司尚未對外說明證實或反駁所謂的駭客攻擊所造成的公司重要敏感資料外洩事宜。

國外相關執法機構先前於2024 年 2 月曾針對LockBit造成的危害嚴重性,關閉與LockBit操作相關的伺服器、沒收管理面板權證、附屬網路資訊和加密貨幣交易等關鍵行動。迄今顯然沒有嚇阻效用,LockBit目前持續更新在加密工具和伺服器的攻擊手法,持續擴大勒索行徑。

LockBit通常會透過Email、惡意程式下載、釣魚網站或漏洞入侵系統再做橫向移動擴大影響範圍,如此造成的攻擊破壞性強大,利用零時差攻擊成功入侵電腦後便竊取檔案加密,對備份檔案進行刪除,強化威脅力道並以公開敏感機密資料威脅勒索企業或組織,常以加密貨幣作為贖金支付。

      國際虛擬貨幣飆漲,也加劇了加密勒索事件頻繁,最近台灣設備大廠也陸續遭受機密資料被竊取勒索的重大資安威脅。企業除了加強使用者與主機管理者的資安防護警覺外(防火牆版本與設定即時更新、提升密碼設定強度、機密或客戶資料的網域做適當隔離),面對狡猾的LockBit網路攻擊手法,單一的安全防護措施是不足的。

與其被動攻擊不如主動防禦,主動式的資安防護已是當前不可或缺的防禦手法,竣盟科技的主動式欺敵、誘捕的資安防護機制近期陸續為各企業與機關單位所採納與建構,有效的資安防禦才是幫助企業降低資安風險及保護核心資產。

以下提供LockBit相關的部分的入侵指標(IOCs):

LockBit勒索軟體遭瓦解,兩名駭客被捕 執法機構釋出LockBit3.0解密工具

被接管的LockBit暗網煥然一新

Key Points:

*2/20由執法合作夥伴組成的國際組織表示,中斷了LockBit 勒索軟體的運作,奪取了近代史上最多產的勒索軟體組織的基礎設施。

*美國司法部與英國當局和其他國際執法機構合作,對兩名俄羅斯公民 Artur Sungatov 和 Ivan Kondratyev 提出起訴,指控他們針對美國眾多公司和世界各地目標部署了LockBit。

*FBI 和英國國家犯罪局與多個合作夥伴合作,也查獲了 LockBit 使用的眾多面向公眾的網站和伺服器。當局獲得了解密金鑰,這將使數百個受害組織能夠重新獲得被盜的資料。

*LockBit客製化的資料外洩工具StealBit的基礎設施已被三個國家的當局扣押

國際執法機構週二(2/20)宣布擾亂並搗毀 LockBit,歐洲刑警組織稱其為「世界上最大的勒索軟體操作」。由英國國家犯罪局 (NCA) 領導的國際執法機構聯盟,作為克諾司行動(Cronos Operation)的一部分,摧毀了 LockBit 的基礎設施,這是一項為期數月的努力,旨在制止勒索軟體即服務(RaaS)的活動,以消除其犯罪行為。該機構在聲明中表示:“今天,在滲透到該組織的網路後,NCA 已經控制了 LockBit 的服務,從而搗毀了他們的整個犯罪事業。 ” 除了破壞行動之外,歐洲刑警組織還採取了其他協調行動,包括週二上午在波蘭和烏克蘭逮捕了兩名 LockBit 成員,並凍結了與該組織有關的 200 多個加密貨幣帳號。

歐洲刑警組織稱,這次行動逮捕了兩人,凍結了 200 多個加密貨幣帳號,控制及關閉了34台伺服器,並刪除了 14,000 個流氓帳號。此外,執法機構表示「允許 LockBit 服務所有要素運作的技術基礎設施」和洩密網站已被接管。目前,尚不清楚被扣押的 200 個錢包中儲存了多少加密貨幣。然而,支付贖金的受害者現在可能可以收回部分勒索軟體付款,就像聯邦調查局之前為殖民地管道(Colonial Pipeline)所做的那樣。

「目前,執法部門掌握了整個調查過程中收集的大量數據。這些數據將用於支持正在進行的國際行動活動,重點是該組織的領導人,以及與這些犯罪活動有關的開發商、附屬會員、基礎設施和犯罪資產,」歐洲刑警組織表示。

兩名駭客分別是Artur Sungatov 和Ivan Kondratyev(也稱為Bassterlord)於波蘭和烏克蘭被捕。此外,法國和美國當局還發出了三份國際逮捕令和五份起訴書。 美國表示,已對兩名涉嫌與 LockBit 勒索軟體有關聯的人提出指控,他們已被拘留並等待引渡,並公佈了對兩名被指控密謀發動網路攻擊的俄羅斯國民的起訴書。NCA在自己的新聞稿中表示,已經控制了LockBit使附屬

會員能夠建立和部署攻擊主要的管理環境。」「透過我們的密切合作,我們已經攻擊了駭客; NCA 總幹事 Graeme Biggar 表示:“控制了他們的基礎設施,奪取了他們的源代碼,並獲得了幫助受害者解密系統的密鑰。”

「截至今天,LockBit已被鎖定。我們損害了這個依賴保密和匿名的組織的能力,尤其是其可信度。」Biggar補充道。 “我們的工作並不止於此。 LockBit 可能會尋求重建他們的犯罪企業。然而,我們知道他們是誰,以及他們如何運作。” 據EurojustDoJ 稱,LockBit 攻擊據信影響了全球 2,500 多名受害者,並賺取了超過 1.2 億美元的非法利潤。作為克諾司行動的一部分,執法部門還 從被扣押的 LockBit 伺服器中獲得了1,000 多個解密金鑰。使用這些解密金鑰,將使受害組織能夠恢復被加密的資料。此外,日本警方、NCA 和聯邦調查局 (FBI) 在歐洲刑警組織的支持下開發了 LockBit 3.0勒索軟體解密工具,並已在No More Ransom平台釋出,將使受害組織能夠恢復被加密的資料。根據NCA,在接下來的2到3天裡,將會有許多消息披露,但最誘人的是 LockBit 的領導人兼發言人 LockBitSupp面紗即將被揭開。

網路和惡意軟體研究安全團隊Vx-Underground在 X上稱,執法行動似乎針對的是“每個已知的Lockbit 勒索軟體網站”,至少有22 個Tor 網站處於離線狀態或顯示扣押訊息。 Vx-Underground 聲稱已獲得 LockBit 管理人員被攻陷的確認,網路犯罪分子聲稱執法部門利用了追蹤為CVE-2023-3824 的PHP遠端程式碼執行漏洞來控制其系統。 然而,駭客聲稱只有使用 PHP 的伺服器受到 FBI 的攻擊,但不使用 PHP 的備份伺服器據稱並未受到影響。現在當LockBit附屬會員登入勒索軟體儀表板時,會收到一條消息,通知他們LockBit平台已受到執法部門的控制,調查人員已獲得原始碼、受害者資料、勒索的金額、所竊取的資料,以及聊天紀錄等。

俄羅斯公民Mikhail Matveev,據稱是目前駐紮在俄羅斯的LockBit活躍分子

LockBit是「勒索軟體即服務」模式的先驅,將目標選擇和攻擊外包給半獨立「附屬會員」,為他們提供工具和基礎設施,並收取贖金佣金作為回報。許多勒索軟體駭客位於俄羅斯,該國網路犯罪活動猖獗,而且不引渡本國公民,這讓受害者居住國當局感到沮喪。美國司法部對俄羅斯國民 Artur Sungatov 和 Ivan Kondratyev 提出了起訴書(首次公開點名),並表示一名在逃的俄羅斯網路犯罪嫌疑人 Mikhail Matveev 也參與了 Lockbit。去年,美國國務院懸賞1000 萬美元尋找導致他被捕的資訊。由於這些核心嫌疑人似乎仍然可以在俄羅斯自由活動,因此毫無疑問他們可以重建 LockBit的帝國,然而這次行動的內容削弱了駭客對犯罪生態系統的信任。

更多的資訊,請參考NCA新聞稿和影片; 以及美國司法部長 Merrick Garland YouTube 影片

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

京鼎遭LockBit勒索軟體攻擊

1 月 16 日,鴻海科技集團旗下半導體零件製造子公司京鼎精密的網站被勒索軟體組織劫持,顯示要洩露該公司客戶個人資訊和員工資訊。這是第一次本地大型企業成為被勒索軟體篡改網站的受害者。

京鼎遭LockBit入侵,駭客挾持京鼎公司網站

根據聯合報的報導,操作勒索軟體LockBit的 駭客還直接在網頁上留下兩大段訊息,第一段訊息是告知客戶,駭客集團已拿下京鼎的客戶資料,如果京鼎不付錢,那麼,客戶的所有個人資料都將被公開在網路上,第二段訊息則是告知員工,如果京鼎管理階層不與駭客集團聯繫,那麼,駭客將會摧毀京鼎所有的資料,而且這些資料將不能恢復,這恐怕會讓員工失去工作

後京鼎在提交給台灣證券交易所的一份重訊聲明中表示,在檢測到攻擊後不久,該公司於下午恢復了其網站,並補充說正在與安全專家合作。京鼎在聲明中表示,該公司的初步評估顯示,該事件不會對其營運產生重大影響。

該公司並未透露有關駭客索要贖金的任何資訊。該公司也沒有說明其客戶或員工的任何個人資訊是否被洩露。

鴻海透過其子公司持有京鼎約 15.22% 的股份。台灣應用材料公司持有該公司8.36%的股份。

Check Point發布的報告顯示,去年前三季全球每週網路攻擊數量每年增加 3%。台灣是遭受駭客攻擊最多的地區,平均每週發生 1,509 次攻擊。

LockBit 勒索軟的部分入侵指標(Indicator of compromise -IOCs):

6e8ca501c45a9b85fff2378cffaa24b2

eb842a9509dece779d138d2e6b0f6949

a54af16b2702fe0e5c569f6d8f17574a9fdaf197

17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994

498ba0afa5d3b390f852af66bd6e763945bf9b6bff2087015ed8612a18372155

906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6

LockBit再度出手!波音公司陷入資料外洩危機

LockBit 勒索軟體組織,或許是世界上運作最嚴密的網路犯罪組織之一。這個組織不僅成功滲透各種組織,而且其嚴格的方法確保它獲得所需的目標。根據美國網路安全和基礎設施安全局 (CISA) 的資料,LockBit 勒索軟體是2022年部署最廣泛的勒索軟體變體,而且預計在2023年持續威脅擴散。它主要瞄準的是關鍵基礎設施,包括金融服務、食品和農業、教育、能源、政府和緊急服務、醫療保健、製造和運輸等行業。

LockBit 勒索軟體的攻擊方式也因其勒索軟體即服務模式而聞名,其戰術、技術和程序(TTP, Tactics, Techniques, and Procedures)可謂五花八門。這種TTPs的多樣化對於致力於維護網路安全和防範勒索軟體威脅的組織構成了重大挑戰。

在澳洲,LockBit 勒索軟體佔據了2022年4月至2023年3月的勒索軟體事件總數的18%。這個數字包括所有LockBit勒索軟體的變體,而不僅僅是LockBit 3.0。2022年,LockBit還占據了加拿大22%的勒索軟體事件,而紐西蘭的CERT則接到了15份LockBit勒索軟體報告,佔2022年勒索軟體報告的23%。

根據FBI的統計,美國已發生約1,700起LockBit事件。自2020年1月5日首次在美國觀察到LockBit活動以來,美國已支付約9,100萬美元的贖金。

LockBit 勒索軟體首次被發現於2019年9月。然而,在過去幾年中,這個勒索軟體不斷升級,變得更加具有威脅性。

以下是重點介紹LockBit勒索軟體的不同變種:

  1. LockBit – 這是最初版本,使用原始的.abcd副檔名,以極快的速度加密文件,只需五分鐘。
  2. LockBit 2.0 – 由原始LockBit變體演進而來,提高了解密字串和代碼的速度,以避免偵測。一旦取得管理權限,加密過程即開始。
  3. LockBit 3.0 – 在2022年6月下旬推出,延續了提高加密速度以避免安全偵測的趨勢。這個惡意軟體使用反分析技術、密碼執行和命令列增強。LockBit 3.0還引入了首個有記錄的勒索軟體漏洞賞金計劃,鼓勵用戶和安全研究人員報告漏洞,以換取經濟獎勵。
  4. LockBit Green – 最新的變體,針對Windows環境的標準勒索軟體變體。
  5. Mac版LockBit – 在2023年5月,發現LockBit已開始開發LockBit勒索軟體的macOS版本,不過它無法輕易在設備上運行。

最新的LockBit目標是波音公司, LockBit聲稱擁有這家飛機製造商的大量敏感資料。根據資安研究團隊vx-underground的消息,它已與 LockBit 成員進行了交談,LockBit聲稱使用了零日漏洞來存取資料,然而沒有提供有關攻擊鏈或據稱由 LockBit洩露的資料性質的更多細節,也沒有具體說明它從波音公司竊取了多少數據,也沒有提供有關其尋求支付的贖金的詳細資訊,但公開了波音公司的倒數計時器,最後期限設於11月2日。

Photo Credit: VX-UNDERGROUND

波音發言人表示,公司正在評估這一聲稱,即目前沒有核實或否認這說法。除了民用飛機,波音還在全球設計、製造和銷售旋翼飛機、火箭、衛星、電信設備和飛彈,並提供租賃和產品支援服務。目前尚不清楚哪些地區受到了LockBit勒索軟體組織的威脅。2022年11月初,波音的全資子公司、航班規劃工具商Jeppesen遭到網路攻擊事故,導致該公司提供的部分產品及服務面臨技術問題,造成北美、中東等多家航空公司的部分航班規劃被迫中斷、航班延誤。

波音公司目前正在評估 LockBit 說法的真實性,考慮到波音所服務的公共和私營部門涉及的高風險,迅速採取行動和開放溝通對於前進至關重要。

傳出清冠一號某製藥廠遭LockBit3.0勒索軟體加密

被設置需支付3佰萬台幣方可將數據銷毀或獨家下載

12月10日竣盟科技觀察到,LockBit 勒索軟體集團在其揭秘網站上張貼了位於桃園的某家製藥大廠成為其受害者的頁面,該製藥大廠在衛服部授權生產我國運用於治療新冠肺炎病毒的清冠一號及二號名單中,目前尚不清楚否是影響清冠配方及其他藥品的生產。LockBit稱在此次攻擊中取得大量數據包括藥物測試及分析資料、銷售數據合作顆伴協議及財務資訊等,LockBit稱為免受害藥廠不向其聯絡協商,將在12/20公佈盜來的數據。根據流出的樣本,LockBit在該藥廠頁面提供了三個方案: 

1. 支付5千美金,計時器將再延長 24 小時

2. 支付 99999美金(約台幣三佰萬元),有關藥廠的所有數據將被銷毀,並且從揭秘網站LockBit Leaked Data中刪除

3. 支付99999美金,獲得獨家下載藥廠數據的權限

LockBit自2022年6月份由LockBit2.0升級至現今的LockBit3.0(又稱LockBit Black) 以來,台灣也出現不少上市企業遭到入侵,當中也包括生技集團軟體系統整合商半導體IT代理商和某日本上市集團在台子公司等。根據以往的攻擊活動,LockBit 集團主要採用了三種策略以獲取初始存取權限:

  1. 透過暴力破解手法攻擊遠端桌面協定(RDP)或在黑市購買外洩RDP憑證,遠端存取目標用戶系統
  2. 通過網路釣魚活動,向目標用戶發送帶有惡意附件的電郵,冒充受信任的個人或機構請求存取憑證或間接誘導受害者下載可安裝其它惡意軟體的有效負載
  3. 通過利用流行的漏洞如Fortinet SSL VPN漏洞(漏洞編號:CVE-2018-13379)進行攻擊

以下提供LockBit三個版本的對比:

LockBit 3.0 的”部分”入侵指標(Indicator of compromise -IOCs):

bf331800dbb46bb32a8ac89e4543cafa

bf4d4f36c34461c6605b42c456fa4492

1690f558aa93267b8bcd14c1d5b9ce34

12eb4ca3ec5b7c650123c9053ea513260d802aa52486b7512b53fb7e86ec876b

URL:

hxxp://ppaauuaa11232[.]cc/aaa[.]exe

hxxp://ppaauuaa11232[.]cc/dlx5rc[.]dotm

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

勒索軟體集團LockBit打著“讓勒索軟體再次偉大”的口號,正式推出新版LockBit3.0,並啟動漏洞賞金計劃

LockBit打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號,推出3.0新版

竣盟科技的觀察,LockBit勒索軟體集團已在上週日(6/26)推出了其惡意軟體的3.0 版本,LockBit自2019年9月開始運營以後來,發展成為最多產的勒索軟體之一,在Conti 勒索軟體關閉其運營後,2022年5月LockBit正式成為佔主導地位的勒索軟體,其攻擊佔勒索市場的 40%。

LockBit還啟動了一個漏洞賞金計劃(Bug Bounty Program),號召旗下成員(Affiliate)或全球的駭客菁英加入新擴展的漏洞賞金計畫,找出有關其加密程式碼漏洞、公共基礎設施漏洞或其他勒索軟體組織成員和幕後老闆的 PII 數據的資料。

LockBit在其揭秘網站LockBit3.0 Leak Data上表示,我們邀請地球上所有安全研究人員、道德和不道德的駭客參與我們的漏洞賞金計劃,報酬金額從 1000 美元到 100 萬美元不等。

Bug Bounty的介紹
Bug Bounty的介紹

自LockBit 3.0推出以來已經有受害者,分別是兩家美國公司Metro Appliance& More和Longseal flooring,為了讓受害者付贖金,LockBit還帶來新的敲詐技倆,任何人可以在受害者頁面,以LockBit提供的售價購買以下選項:

1. 延長談判時間( 24小時)

2銷毀從受害公司竊取到的所有資料。

3. .隨時下載從受害公司竊取到的所有資料。

選擇綠色按鈕,可以延長24小時,銷毀所有資料或下載所有資料

值得一提的是,這意味著LockBit受害公司的競爭對手可能會買下資料或直接銷毀資料,LockBit無疑將敲詐、威嚇的技倆,帶到另一個層次!

另外, LockBit新增加了一個How to buy Bitcoin頁面,教受害者如何使用不同的方式購買比特幣。

LockBit接受的加密貨幣: 門羅幣,比特幣和新增的隱私幣Zcash

據了解,LockBit還在準備大量新的備份站點,以提高其基礎架構的彈性。

備份站點包含: LockBit揭秘網站,帶備份的伺服器和與受害者通訊的聊天室

LockBit勒索軟體集團的經營已經達到了一定程度的成熟度,該集團如同在經營的正規企業般的策略,是當今的勒索軟體市場鮮有的。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”