法國國防巨擘達利思集團Thales Group疑遭LockBit 2.0攻擊

Thales Group稱沒有遭攻擊的跡象,也沒有收到勒索信

2021年是勒索軟體肆虐,駭客相當忙碌的一年,這樣的狀況,在2022年也不太可能中斷。昨天Lockbit 2.0宣布其2022年第一個受害者為Thales Group,在其揭秘網站上透露它們已入侵法國航空與國防產業領導集團達利思的網路,並給出約 13 天時間用於協商贖金,若在1月17日仍沒達成協商即公開從Thales Group竊得的數據,目前仍沒釋出任何數據的樣本或截圖,也不清楚盜來數據量。

但據法國媒體Lemonde Infomatique的報導,他們取得Thales Group的回應, Thales Group表示知道Lockbit2.0勒索軟體聲稱針對屬於其數據進行了所謂的攻擊,但沒有收到任何直接的勒索通知,Thales Group更進一步表示,出於謹慎的處理態度,仍對這毫無根據的指控認真看待,並已安排資安專家正在調查,但在現階段沒有看到關於這次攻擊的具體證據。儘管如此,由於以考慮的數據安全為前提,他們仍會繼續進行調查。

Thales Group是法國的一家專注於航空航天、國防、地面交通運輸、安全和製造電氣系統的電子集團,在56個國家和地區有業務,並有80000名員工。

LockBit 2.0在2021年曾攻擊了多家有名的企業,包括大型IT顧問公司Accenture曼谷航空,加密貨幣交易平台BTC-Alpha,意大利能源公司ERG,丹麥大型風力發電機製造商Vestas等, 國內企業日勝生公司在2021年10月底亦曾遭LockBit2.0攻擊,被竊141 GB資料。

LockBit2.0 是一種現可利用AD群組原則的勒索軟體,能自動加密Windows 網域下所有電腦,駭客不必寫程式進行勒贖軟體部署,只要取得 Windows Server 網域控制器的存取權,就能自動進行傳播,並在網域控制器上建立新的群組原則,將其推送到 Windows 網域中的所有電腦。這些原則包含禁用安全措施,例如 Microsoft Defender 和警報,並阻止操作系統向 Microsoft 提交樣本以避免檢測,以實現持久性。

其他 LockBit 2.0的報導:

LockBit勒索軟體推出了新的招募會員計劃“LockBit 2.0”,稱其最新的工具StealBit是世上最迅速盜竊數據的神器–>https://blog.billows.com.tw/?p=1173

勒索軟體LockBit2.0持續發威,繼曼谷航空、IT顧問巨頭Accenture等遭Lockbit2.0加密後,台灣某製造業大廠也中–>https://blog.billows.com.tw/?p=1350

注意了~繼北市某製造業遭LockBit2.0攻擊,今見台灣上市工程公司也遭殃–>https://blog.billows.com.tw/?p=1411

加密貨幣交易平台BTC-Alpha遭LockBit2.0勒索軟體入侵

由烏克蘭人 Vitaliy Bodnar 創立的加密貨幣交易所 BTC-Alpha 於 2021 年 11 月 1 日 成為大規模 DDoS 攻擊的受害者,11 月 1 日 為BTC-Alpha成立的5週年,根據Prleap的報導,網路犯罪分子試圖竊取BTC-Alpha用戶的資金但未果。在竊取失敗之後,BTC-Alpha創辦人Vitaliy Bodnar收到了來自不知名人士的威脅暗示,聲稱將對他進行暴力行動。Bodnar 認為這一切以及包含這次的DDoS攻擊都是其競爭對手的詭計。Bodnar說,”這是我們競爭對手的方法,我們拒絕與他們合作,添加他們的貨幣到我們的平台。當他們出貨幣時,在同一天,我們遭到大規模攻擊。我不相信這樣的巧合。”

LockBit 的揭秘網站上, BTC-Alpha 的頁面

然而根據LockBit2.0的揭秘網站,操作該勒索軟體的駭客已在11月17日將BTC-Alpha添加為受害者。 LockBit 2.0稱如果他們沒有收到贖金,將在 12 月 1 日公佈BTC-Alpha的數據,據了解雖然Lockbit 2.0 勒索軟體通過內神通外鬼的方式入侵了BTC-Alpha系統,駭客通過他們的電腦直接向BTC-Alpha的員工發送病毒,當中有員工讓這種病毒進入。在入侵過程,駭客更試圖竊取用戶的資金,但最終仍沒有成功,竊取了BTC-Alpha交易平台的原始碼及36.2萬名用戶的詳細資訊,LockBit2.0目前開價100 BTC 約1800 萬美元的贖金,但據了解BTC-Alpha拒絕談判。

值得一說,BTC-Alpha 於 2021 年 11 月 1 日,即公司成立 5 週年紀念日遭到攻擊。據Bodnar稱,這次襲擊是由半年前精心策劃的,目前仍有未解決的問題使公司無法對損害進行全面評估,但在未來幾天交易所全面恢復後,所有用戶都可以從他們的賬戶中自由提取資金。

BTC-Alpha為前100 大加密交易所之一

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA 256:

3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d

2f18e61e3d9189f6ff5cc95252396bebaefe0d76596cc51cf0ade6a5156c6f66

4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0

07a3dcb8d9b062fb480692fa33d12da05c21f544492cbaf9207956ac647ba9ae

bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e

ced3de74196b2fac18e010d2e575335e2af320110d3fdaff09a33165edb43ca2

107d9fce05ff8296d0417a5a830d180cd46aa120ced8360df3ebfd15cb550636

IPv4:

139.60.160.200

168.100.11.72

174.138.62.35

185.215.113.39

193.38.235.234

45.227.255.190

88.80.147.102

93.190.143.101

93.190.139.223

LockBit2.0 Tor Domains:

hxxp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion

hxxp://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did[.]onion

hxxp://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid[.]onion

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

注意了~繼北市某製造業遭LockBit2.0攻擊,今見台灣上市工程公司也遭殃!

號稱史上加密速度最快的勒索軟體LockBit2.0又來襲,新北市某上市工程公司遭其毒手, 10月6日竣盟科技在LockBit2.0的揭秘網站上,發現某工程公司的資料,據了解,LockBit2.0在10月3日發布有關公司的受害者頁面,並聲稱會在10月9日公開盜來的數據,但目前仍沒看到任何疑似外洩的檔案作為攻擊的證據,也不知道LockBit2.0獲取了多少數據和要求的勒索贖金額,另外,目前也尚不清楚LockBit2.0是如何入侵該公司以及安全漏洞是何時發生,該公司在近期發布之重大訊息中並也沒有包含任何資安事件。

與其他操作勒索軟體組織一樣,LockBit 2.0 實施了把勒索軟體當成一種服務販售的運作方式,也就是勒索軟體即服務(Ransomware-as-a-Service;RaaS),同時會招募員(Affiliate)並維護會員的網路。 LockBit勒索軟體自2019年9月始一直活躍,直到2021 年 6 月宣布推出LockBit 2.0 RaaS計劃。LockBit對外表示,會員只需要對核心伺服器建立存取,其餘的工作全由LockBit 2.0一手包辦。

另外,根據外媒的報導,LockBit2.0最近的受害者名單包括以色列航空與國防公司 EMIT Aviation Consulting Ltd、 Riviana、Wormington & Bollinger、Anaasia Group、Vlastuin Group、SCIS Air Security、Peabody Properties、DATA SPEED SRL、Island Independent Buying Group、Day Lewis、Buffington Law Firm 和全球其他數十家公司,可見LockBit2.0發動攻擊的趨勢沒有下滑,仍異常的活躍,

8月初IT顧問公司Accenture和8月底泰國的曼谷航空也成為LockBit2.0的受害者,澳洲網路安全中心 (ACSC) 在今年8 月警告稱 ,從 7月開始它們觀察到LockBit2.0在當地的製造、零售、營建等產業發起了一連串的入侵活動,攻擊數量持續上升。9月初,發現台灣某製造業大廠中了LockBit2.0,今在一個月內又發現我國企業遭同一勒索軟體入侵,可見LockBit2.0值得我們高度關注。

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

LockBit2.0 Tor Domains:

hxxp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion

hxxp://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did[.]onion

hxxp://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid[.]onion

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a

勒索軟體LockBit2.0持續發威,繼曼谷航空、IT顧問巨頭Accenture等遭Lockbit2.0加密後,台灣某製造業大廠也中鏢!

竣盟科技在9月1日發現LockBit2.0的揭秘網站上,刊登了台灣某製造業的資料,根據描述,該公司為亞洲最大的成衣副料商之一,提供知名戶外運動品牌各種輔料及配件,根據受害公司的官網,其營業據點包含台北、台中、北京,在桃園,蘇州及越南也有設廠。操作LockBit2.0的背後駭客將於9月7日在其揭秘網站上發佈從該公司盜來的資料,但未有透露竊取的資料量和勒索贖金額。

LockBit 2.0勒索軟體最近異常的活躍

2021年6月,LockBit大改版升級為LockBit 2.0,瞄準的企業數量比以往更多,攻擊的地區和產業別也更廣泛,在受害企業中當中不泛一些國外資安媒體沒有報導的台灣鄰國,如日本、馬來西亞、星加坡、越南等,可見LockBit2.0對亞洲區不斷伸出毒手。

8月初IT顧問公司Accenture和近日泰國的曼谷航空也成為LockBit2.0的受害者,澳洲網路安全中心(ASCS) 在8月發布警報,已觀察到LockBit2.0在當地的製造、零售、營建等產業發起了一連串的入侵活動。LockBit 2.0為了與其他勒索軟體即服務(Ransomware-as -a -Service;RaaS) 的競爭對手相比,新增了名為StealBit的竊密功能,將自己定位為當今加密最快、最有效率的勒索軟體,可以在不到 20 分鐘的時間內從受感染的系統下載 100 GB 的數據。此外,LockBit 常利用被外洩的遠端桌面協定(RDP)或 VPN 賬戶進入企業內部網路。在7月份,BleepingComputer的報導中,指出研究人員已發現,LockBit 2.0能利用Windows 群組原則(Group Policy),自動感染 Windows 網域控制站旗下所有電腦的功能,不必額外寫程式碼進行勒索軟體部署,只要取得 Windows Server 網域控制器的存取權,勒索軟體就能夠在網域內傳播。LockBit 2.0在執行時,會自動産生新的群組原則設定檔,並能禁用 Microsoft Defender 的即時防護功能,以逃避檢測。

LockBit 2.0 攻擊過程(Photo Credit: Trend Micro)

另外,LockBit2.0的背後駭客為了提高他們的形象並吸引更多的會員(Affiliate),其發言人“LockBitSupp”在最近接受了俄羅斯OSINT的 YouTube 頻道採訪,在採訪過程中,不斷讚揚他們的營運計劃,並表示每筆贖金的 80% 是用來支付給會員的。LockBitSupp 還進一步表示,他們會持續研發、改進惡意軟體和其他工具,使攻擊不僅更快,而更自動化。

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

LockBit2.0 Tor Domains:

hxxp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion

hxxp://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did[.]onion

hxxp://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid[.]onion

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a

勒索軟體LockBit2.0攻擊泰國的曼谷航空,乘客的個人識別資訊(PII)遭外洩, 200多GB的數據被公開

Photo Credit: The record future

曼谷航空(Bangkok Airways)公司在8 月26 日給客戶的一份聲明中,就涉及護照資訊和其他個人數據的外洩發表道歉,該公司表示最初的入侵發生在 8 月 23 日,到目前為止,調查發現攻擊者可能已經存取了一些個人數據,但未說明有多少乘客受到影響。

操作LockBit2.0勒索軟體的背後駭客聲稱他們是這次攻擊曼谷航空的肇事者,並在其揭秘網站上發布消息,威脅該公司如果不支付高額贖金,就會洩露數據。LockBit2.0給了該航空公司五天的時間來付贖金,但很明顯的曼谷航空沒有乖乖就範而自行公開被入侵的情況,因此Lockbit2.0也在週六(8月28日)公佈了從曼谷航空盜來的200多GB的數據。

雖然大部分被盜資料似乎是與其業務有關的檔案,但曼谷航空公司表示,駭客仍設法竊取了包含部分乘客個人識別資訊的檔案。根據航空公司的說法,被盜檔案中包含的一些個人數據包括乘客姓名、姓氏、國籍、性別、電話號碼、電子郵件、地址、聯繫資訊、護照資訊、歷史旅行資訊,部分信用卡資訊和特殊餐飲資訊等數據,根據曼谷航空新聞稿,該公司在發現事件後,立即採取行動,在網路安全團隊的協助下調查並遏制該事件。目前,該公司正在緊急進行調查,核實洩露的數據和受影響的乘客,並採取相關措施加強其IT系統,並已將入侵行為通知了當地執法部門。

該公司建議乘客留意要警惕任何聲稱來自該航空公司的電子郵件或電話,因為這些可能是使用被盜數據進行的網路釣魚。曼谷航空公司還建議乘客盡快聯繫他們的銀行或信用卡提供商並更改密碼。

LockBit2.0是在 REvil、DarkSide 和 Avaddon 等競爭對手在今年夏天退出勒索市場之後,當今發動最多攻擊的勒索軟體之一。

本月早些時候,澳洲網路安全中心發布了一項警報,指出該LockBit勒索軟體在中斷其活動後重新啟動,並在第二波中以更大的力度回歸成為新的LockBit 2.0,其攻擊的特點是利用 CVE-20218-13379,這是 Fortinet FortiOS 和 FortiProxy 中的一個已知漏洞,允許駭客獲得對受感染網路的初始存取控制權。另外,LockBit2.0稱其工具StealBit是世上最迅速盜竊數據的神器,能在不到 20 分鐘內從受感染的系統迅速下載 100 GB 的數據。

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a