外媒報導鴻海旗下富士康墨西哥Foxconn BC,遭勒索軟體LockBit 2.0入侵

#官網張貼維護中的公告

根據資安新聞網站SecurityWeek的報導,操作勒索軟體LockBit 2.0的背後駭客聲稱入侵了富士康墨西哥的電腦系統,富士康墨西哥工廠Foxconn BC位於下加州Baja California(墨西哥最靠近北邊的州) 的最大城市提華納(Tijuana),Foxconn BC是致力於製造醫療設備和消費電子產品的大型製造業者,該工廠約有 5,000 名員工。

Photo Credit : SecurityWeek

直到目前,尚不清楚LockBit2.0勒索軟體的攻擊是否對該工廠運營科技 (OT) 系統產生任何影響,是否波及製造環境導致生產線關閉等問題。然而,據觀察,Foxconn BC的官網目前呈現維護中的畫面。

Foxconn BC的官網目前呈現維護中的畫面

據報導,駭客威脅除非收到贖金,否則將在 6 月 11 日發布所有取得的資料,但索要的贖金金額仍不得而知。據悉,外媒已經聯繫了Foxconn BC,但該公司尚未發表任何評論作出回應。此次之前,2020年11月底,位於墨西哥Ciudad Juárez, Chihuahua的富士康CTBG工廠亦曾遭勒索軟體Doppel Paymer加密,當時駭客宣稱竊取了100GB的檔案,而且加密了1,200臺伺服器,已刪除的20-30 TB備份,要求富士康CTBG工廠支付3,400萬美元的贖金。

勒索軟體LockBit2.0導致國內企業有不少災情:

2022年5月份,有四家台灣企業遭LockBit2.0勒索軟體的攻擊,當中包含台灣某背光模組大廠和其子公司–> https://blog.billows.com.tw/?p=1923

2022 年 4 月某一飲料原物料商–>https://blog.billows.com.tw/?p=1833

2021年10月某製造業成衣副料商–>https://blog.billows.com.tw/?p=1411

2021年11月上市營建公司日勝生及該集團旗下百貨京站也遭LockBit2.0攻擊

最近傳出LockBit2.0將升級成為LockBit3.0的版本,並將更名為LockBit Black,LockBit2.0被譽為當今最快加密的勒索軟體,它的升級是否會帶來更多的變化,值得我們持續關注。

有關LockBit2.0的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://45.32.108.54:443/c0000015.log

http://45.32.108.54:443/glib-2.0.dll

IPv4: 149.28.137.7

SHA 1:

e35a702db47cb11337f523933acd3bce2f60346d

729eb505c36c08860c4408db7be85d707bdcbf1b

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

1458421f0a4fe3acc72a1246b80336dc4138dd4b

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

勒索軟體集團LockBit又一次升級? 修補了MSSQL 數據庫的加密漏洞,將推出3.0的版本LockBit Black?!

Photo Credit: vx-underground

根據資安研究團隊vx-underground,勒索軟體集團LockBit命名其3.0版本為“Lockbit Black”,並修補了 MSSQL 數據庫的加密漏洞, LockBit最早於 2019 年 9 月以ABCD 勒索軟體開始運營,後更名為 LockBit並於 2021 年 6 月推出升級版本 LockBit 2.0。Lockbit 2.0勒索軟體引入了陰影複製和日誌檔案刪除等新功能,使受害者更難恢復。Lockbit在流行的勒索軟體集團中擁有最快的加密速度,在一分鐘內能加密了大約25,000檔案,此外,LockBit擁有的最迅速盜竊數據的神器StealBit,能在不到 20 分鐘內從受感染的系統迅速下載 100 GB 的數據。

然而,聯邦調查局(FBI)於2022年2月4日發佈了關於Lockbit 2.0的

入侵指標(IOC)的FBI Flash安全公告。在FBI的公告之後,暗網論壇中的一位用戶發佈了標題為“Kockbit fuckup thread” 的文章,表示發現了在Lockbit 2.0勒索軟體中的錯誤以及恢復受害者數據的方法,對應了FBI的建議以及微軟檢測和回應團隊(DART)對Lockbit的研究。微軟DART研究人員發現和利用在Lockbit 2.0勒索軟體中的錯誤,發現了一種方法,使他們能夠成功恢復Lockit受害者MSSQL資料庫上的加密過程。

Microsoft DART研究的連結:

https://techcommunity.microsoft.com/t5/security-compliance-and-identity/part-1-lockbit-2-0-ransomware-bugs-and-database-recovery/ba-p/3254354

https://techcommunity.microsoft.com/t5/security-compliance-and-identity/part-2-lockbit-2-0-ransomware-bugs-and-database-recovery/ba-p/3254421

一名Lockbit 勒索軟體成員針對文章發表了評論,解釋了 MSSQL 含錯誤(bug)的原因,該Lockbit成員還說Lockbit 3.0中不會存在該錯誤。

3 月 17 日,資安研究團隊 vx-underground發布了他們與 LockBit 的一位成員對話的截圖。在截圖中,vx-underground 研究人員詢問何時會發布 Lockbit 3.0,Lockbit 成員表示最新版本將在一兩週內發布。

然而,自 vx-underground 在Twitter上發布他們與 Lockbit 成員的對話以來已經幾週了,根據觀察勒索軟體集團仍在使用 Lockbit 2.0 的名稱,Lockbit 3.0 的其他新功能和升級仍然是個謎,竣盟科技將持續關注 Lockbit 3.0 的更新,為您帶來最新的消息。

有關LockBit2.0的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://45.32.108.54:443/c0000015.log

http://45.32.108.54:443/glib-2.0.dll

IPv4: 149.28.137.7

SHA 1:

e35a702db47cb11337f523933acd3bce2f60346d

729eb505c36c08860c4408db7be85d707bdcbf1b

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

1458421f0a4fe3acc72a1246b80336dc4138dd4b

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

LockBit2.0鎖定台灣了?! 5月上、中旬已見四家台灣企業,遭LockBit2.0勒索軟體的攻擊

LockBit 2.0勒索軟體聲稱攻擊了台灣某背光模組大廠和其子公司

據觀察,勒索軟體LockBit 2.0已在5月上、中旬,攻擊了四間不同的台灣企業,大肆在其揭秘網站上公告受害名單。當中引人關注的是一間上市的背光模組大廠與其子公司疑同時遭LockBit 2.0的毒手,LockBit揚言已竊得母公司和子公司的機密資料,包括apps的原始碼、財務報告、員工個資等超過 3 千份檔案。據了解母公司和子公司分別位於不同的縣市,該母公司的主要生產廠房遍佈台灣及大陸多個地區。截至目前,在公開資訊觀測站上沒有看到該母公司發佈重訊的相關訊息,另外,LockBit2.0聲稱會在5月18日發布從該母公司及子公司盜來的資料,但目前尚未看到任何公開流出的檔案。

另外,一家位於新北市的電線公司和一家位於台中的對講機製造廠商也成為LockBit 2.0的受害者。

LockBit 的演變,LockBit是目前其中最成功的勒索軟體即服務(Ransomware-as-a-Service;RaaS)之一,Photo Credit: Kaspersky

LockBit在2021年6月推出升級版 LockBit 2.0 以來,承諾通過名為StealBit的新工具提供市場上最快的數據上傳速度,該工具還支援實時壓縮和拖放功能,對安全工具保持隱藏。根據 LockBit 的承諾,它可以在不到 20 分鐘的時間內從受感染的系統下載 100 GB 的數據,攻擊的企業數量比以往更多。8月初,BleepingComputer曾報導,LockBit2.0積極招募目標企業的內鬼,幫助他們入侵和加密企業的網路,並會以百萬美元作為報酬。LockBit2.0能利用 Active Directory (AD) 的群組原則,自動將 Windows 網域內所有裝置加密,使攻擊更加有效,之後LockBit 2.0還在其工具包中增加一個針對 VMware ESXi虛擬化系統中的Linux加密器。

美國FBI(聯邦調查局)在2022年2月針對LockBit發布了CU-000162-MW的Flash Alert警報,提供了與 LockBit 勒索軟體攻擊相關的技術細節和入侵指標。FBI 建議網絡安全人員要求使用強密碼、多因素身份驗證和更新軟件等,以降低 LockBit 2.0 勒索軟件的危害風險。

在過去Lockbit2.0曾攻擊過的台灣企業:

2021年10月某製造業成衣副料商àhttps://blog.billows.com.tw/?p=1411

2021年11月上市營建公司日勝生及該集團旗下百貨京站也遭LockBit2.0攻擊

2022 年 4 月某一飲料原物料商àhttps://blog.billows.com.tw/?p=1833

有關LockBit2.0的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://45.32.108.54:443/c0000015.log

http://45.32.108.54:443/glib-2.0.dll

IPv4: 149.28.137.7

SHA 1:

e35a702db47cb11337f523933acd3bce2f60346d

729eb505c36c08860c4408db7be85d707bdcbf1b

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

1458421f0a4fe3acc72a1246b80336dc4138dd4b

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

加拿大空戰訓練服務承包商Top Aces和日本流行服飾しまむら思夢樂,遭LockBit2.0攻擊! Top Aces被盜44GB的數據;思夢樂旗下2200間店舖受影響,無法訂購及電子付款

5月11日,加拿大私人假想敵公司 Top Aces透露,旗下美國分公司在調查針對其內部系統遭勒索軟體攻擊的事件,據The Record報導,Top Aces在發現被列為LockBit 2.0勒索軟體的受害者後,正展開調查。操作LockBit 2.0勒索軟體背後駭客已要求Top Aces在 5 月 15 日之前付贖金,以換取不外洩屬於Top Aces約 44 GB的數據。Top Aces擁有全球規模最大的私營戰鬥機機隊,用於為世界各地的軍隊提供訓練,除了與加拿大、德國、以色列等國家合作外,該公司還於2019年與美國簽署了一項協議,為防禦俄羅斯提供訓練工具。資安公司Emsisoft的威脅分析師 Brett Callow指出,對國防承包商的攻擊令人擔憂,因為無法知道被盜數據最終會落在哪裡。

思夢樂公告

日本大型服裝連鎖企業思夢樂5月11日透露,在日本黃金週假期間,其內部系統遭駭客入侵造成系統異常,無法在店舖進行電子支付和線上產品訂購,多達2200間商店受影響。NHK報導思夢樂防止損害的進一步擴大,在5月5日暫停所有店面電子支付,6日因確認安全性,恢復電子結帳,但目前2200間店舖仍無法提供店面無現貨的商品訂購服務。

根據觀察,LockBit 2.0聲稱取得思夢樂超過 16Gb的數據,要求思夢樂在5月16日前支付贖金,另外,思夢樂表示,目前未發現有客戶或員工的個資外流。

LockBit 仍然是最活躍的勒索軟體組織之一,去年發生了數百次攻擊。根據 Recorded Future 收集的數據,今年到目前為止,他們已經攻擊了至少 650 個組織。

Photo Credit: The Record

有關LockBit2.0的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://45.32.108.54:443/c0000015.log

http://45.32.108.54:443/glib-2.0.dll

IPv4: 149.28.137.7

SHA 1:

e35a702db47cb11337f523933acd3bce2f60346d

729eb505c36c08860c4408db7be85d707bdcbf1b

25fbfa37d5a01a97c4ad3f0ee0396f953ca51223

1458421f0a4fe3acc72a1246b80336dc4138dd4b

0c842d6e627152637f33ba86861d74f358a85e1f

091b490500b5f827cc8cde41c9a7f68174d11302

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

法國國防巨擘達利思集團Thales Group疑遭LockBit 2.0攻擊

Thales Group稱沒有遭攻擊的跡象,也沒有收到勒索信

2021年是勒索軟體肆虐,駭客相當忙碌的一年,這樣的狀況,在2022年也不太可能中斷。昨天Lockbit 2.0宣布其2022年第一個受害者為Thales Group,在其揭秘網站上透露它們已入侵法國航空與國防產業領導集團達利思的網路,並給出約 13 天時間用於協商贖金,若在1月17日仍沒達成協商即公開從Thales Group竊得的數據,目前仍沒釋出任何數據的樣本或截圖,也不清楚盜來數據量。

但據法國媒體Lemonde Infomatique的報導,他們取得Thales Group的回應, Thales Group表示知道Lockbit2.0勒索軟體聲稱針對屬於其數據進行了所謂的攻擊,但沒有收到任何直接的勒索通知,Thales Group更進一步表示,出於謹慎的處理態度,仍對這毫無根據的指控認真看待,並已安排資安專家正在調查,但在現階段沒有看到關於這次攻擊的具體證據。儘管如此,由於以考慮的數據安全為前提,他們仍會繼續進行調查。

Thales Group是法國的一家專注於航空航天、國防、地面交通運輸、安全和製造電氣系統的電子集團,在56個國家和地區有業務,並有80000名員工。

LockBit 2.0在2021年曾攻擊了多家有名的企業,包括大型IT顧問公司Accenture曼谷航空,加密貨幣交易平台BTC-Alpha,意大利能源公司ERG,丹麥大型風力發電機製造商Vestas等, 國內企業日勝生公司在2021年10月底亦曾遭LockBit2.0攻擊,被竊141 GB資料。

LockBit2.0 是一種現可利用AD群組原則的勒索軟體,能自動加密Windows 網域下所有電腦,駭客不必寫程式進行勒贖軟體部署,只要取得 Windows Server 網域控制器的存取權,就能自動進行傳播,並在網域控制器上建立新的群組原則,將其推送到 Windows 網域中的所有電腦。這些原則包含禁用安全措施,例如 Microsoft Defender 和警報,並阻止操作系統向 Microsoft 提交樣本以避免檢測,以實現持久性。

其他 LockBit 2.0的報導:

LockBit勒索軟體推出了新的招募會員計劃“LockBit 2.0”,稱其最新的工具StealBit是世上最迅速盜竊數據的神器–>https://blog.billows.com.tw/?p=1173

勒索軟體LockBit2.0持續發威,繼曼谷航空、IT顧問巨頭Accenture等遭Lockbit2.0加密後,台灣某製造業大廠也中–>https://blog.billows.com.tw/?p=1350

注意了~繼北市某製造業遭LockBit2.0攻擊,今見台灣上市工程公司也遭殃–>https://blog.billows.com.tw/?p=1411

加密貨幣交易平台BTC-Alpha遭LockBit2.0勒索軟體入侵

由烏克蘭人 Vitaliy Bodnar 創立的加密貨幣交易所 BTC-Alpha 於 2021 年 11 月 1 日 成為大規模 DDoS 攻擊的受害者,11 月 1 日 為BTC-Alpha成立的5週年,根據Prleap的報導,網路犯罪分子試圖竊取BTC-Alpha用戶的資金但未果。在竊取失敗之後,BTC-Alpha創辦人Vitaliy Bodnar收到了來自不知名人士的威脅暗示,聲稱將對他進行暴力行動。Bodnar 認為這一切以及包含這次的DDoS攻擊都是其競爭對手的詭計。Bodnar說,”這是我們競爭對手的方法,我們拒絕與他們合作,添加他們的貨幣到我們的平台。當他們出貨幣時,在同一天,我們遭到大規模攻擊。我不相信這樣的巧合。”

LockBit 的揭秘網站上, BTC-Alpha 的頁面

然而根據LockBit2.0的揭秘網站,操作該勒索軟體的駭客已在11月17日將BTC-Alpha添加為受害者。 LockBit 2.0稱如果他們沒有收到贖金,將在 12 月 1 日公佈BTC-Alpha的數據,據了解雖然Lockbit 2.0 勒索軟體通過內神通外鬼的方式入侵了BTC-Alpha系統,駭客通過他們的電腦直接向BTC-Alpha的員工發送病毒,當中有員工讓這種病毒進入。在入侵過程,駭客更試圖竊取用戶的資金,但最終仍沒有成功,竊取了BTC-Alpha交易平台的原始碼及36.2萬名用戶的詳細資訊,LockBit2.0目前開價100 BTC 約1800 萬美元的贖金,但據了解BTC-Alpha拒絕談判。

值得一說,BTC-Alpha 於 2021 年 11 月 1 日,即公司成立 5 週年紀念日遭到攻擊。據Bodnar稱,這次襲擊是由半年前精心策劃的,目前仍有未解決的問題使公司無法對損害進行全面評估,但在未來幾天交易所全面恢復後,所有用戶都可以從他們的賬戶中自由提取資金。

BTC-Alpha為前100 大加密交易所之一

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA 256:

3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d

2f18e61e3d9189f6ff5cc95252396bebaefe0d76596cc51cf0ade6a5156c6f66

4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0

07a3dcb8d9b062fb480692fa33d12da05c21f544492cbaf9207956ac647ba9ae

bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e

ced3de74196b2fac18e010d2e575335e2af320110d3fdaff09a33165edb43ca2

107d9fce05ff8296d0417a5a830d180cd46aa120ced8360df3ebfd15cb550636

IPv4:

139.60.160.200

168.100.11.72

174.138.62.35

185.215.113.39

193.38.235.234

45.227.255.190

88.80.147.102

93.190.143.101

93.190.139.223

LockBit2.0 Tor Domains:

hxxp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion

hxxp://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did[.]onion

hxxp://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid[.]onion

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

注意了~繼北市某製造業遭LockBit2.0攻擊,今見台灣上市工程公司也遭殃!

號稱史上加密速度最快的勒索軟體LockBit2.0又來襲,新北市某上市工程公司遭其毒手, 10月6日竣盟科技在LockBit2.0的揭秘網站上,發現某工程公司的資料,據了解,LockBit2.0在10月3日發布有關公司的受害者頁面,並聲稱會在10月9日公開盜來的數據,但目前仍沒看到任何疑似外洩的檔案作為攻擊的證據,也不知道LockBit2.0獲取了多少數據和要求的勒索贖金額,另外,目前也尚不清楚LockBit2.0是如何入侵該公司以及安全漏洞是何時發生,該公司在近期發布之重大訊息中並也沒有包含任何資安事件。

與其他操作勒索軟體組織一樣,LockBit 2.0 實施了把勒索軟體當成一種服務販售的運作方式,也就是勒索軟體即服務(Ransomware-as-a-Service;RaaS),同時會招募員(Affiliate)並維護會員的網路。 LockBit勒索軟體自2019年9月始一直活躍,直到2021 年 6 月宣布推出LockBit 2.0 RaaS計劃。LockBit對外表示,會員只需要對核心伺服器建立存取,其餘的工作全由LockBit 2.0一手包辦。

另外,根據外媒的報導,LockBit2.0最近的受害者名單包括以色列航空與國防公司 EMIT Aviation Consulting Ltd、 Riviana、Wormington & Bollinger、Anaasia Group、Vlastuin Group、SCIS Air Security、Peabody Properties、DATA SPEED SRL、Island Independent Buying Group、Day Lewis、Buffington Law Firm 和全球其他數十家公司,可見LockBit2.0發動攻擊的趨勢沒有下滑,仍異常的活躍,

8月初IT顧問公司Accenture和8月底泰國的曼谷航空也成為LockBit2.0的受害者,澳洲網路安全中心 (ACSC) 在今年8 月警告稱 ,從 7月開始它們觀察到LockBit2.0在當地的製造、零售、營建等產業發起了一連串的入侵活動,攻擊數量持續上升。9月初,發現台灣某製造業大廠中了LockBit2.0,今在一個月內又發現我國企業遭同一勒索軟體入侵,可見LockBit2.0值得我們高度關注。

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

LockBit2.0 Tor Domains:

hxxp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion

hxxp://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did[.]onion

hxxp://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid[.]onion

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a

勒索軟體LockBit2.0持續發威,繼曼谷航空、IT顧問巨頭Accenture等遭Lockbit2.0加密後,台灣某製造業大廠也中鏢!

竣盟科技在9月1日發現LockBit2.0的揭秘網站上,刊登了台灣某製造業的資料,根據描述,該公司為亞洲最大的成衣副料商之一,提供知名戶外運動品牌各種輔料及配件,根據受害公司的官網,其營業據點包含台北、台中、北京,在桃園,蘇州及越南也有設廠。操作LockBit2.0的背後駭客將於9月7日在其揭秘網站上發佈從該公司盜來的資料,但未有透露竊取的資料量和勒索贖金額。

LockBit 2.0勒索軟體最近異常的活躍

2021年6月,LockBit大改版升級為LockBit 2.0,瞄準的企業數量比以往更多,攻擊的地區和產業別也更廣泛,在受害企業中當中不泛一些國外資安媒體沒有報導的台灣鄰國,如日本、馬來西亞、星加坡、越南等,可見LockBit2.0對亞洲區不斷伸出毒手。

8月初IT顧問公司Accenture和近日泰國的曼谷航空也成為LockBit2.0的受害者,澳洲網路安全中心(ASCS) 在8月發布警報,已觀察到LockBit2.0在當地的製造、零售、營建等產業發起了一連串的入侵活動。LockBit 2.0為了與其他勒索軟體即服務(Ransomware-as -a -Service;RaaS) 的競爭對手相比,新增了名為StealBit的竊密功能,將自己定位為當今加密最快、最有效率的勒索軟體,可以在不到 20 分鐘的時間內從受感染的系統下載 100 GB 的數據。此外,LockBit 常利用被外洩的遠端桌面協定(RDP)或 VPN 賬戶進入企業內部網路。在7月份,BleepingComputer的報導中,指出研究人員已發現,LockBit 2.0能利用Windows 群組原則(Group Policy),自動感染 Windows 網域控制站旗下所有電腦的功能,不必額外寫程式碼進行勒索軟體部署,只要取得 Windows Server 網域控制器的存取權,勒索軟體就能夠在網域內傳播。LockBit 2.0在執行時,會自動産生新的群組原則設定檔,並能禁用 Microsoft Defender 的即時防護功能,以逃避檢測。

LockBit 2.0 攻擊過程(Photo Credit: Trend Micro)

另外,LockBit2.0的背後駭客為了提高他們的形象並吸引更多的會員(Affiliate),其發言人“LockBitSupp”在最近接受了俄羅斯OSINT的 YouTube 頻道採訪,在採訪過程中,不斷讚揚他們的營運計劃,並表示每筆贖金的 80% 是用來支付給會員的。LockBitSupp 還進一步表示,他們會持續研發、改進惡意軟體和其他工具,使攻擊不僅更快,而更自動化。

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

LockBit2.0 Tor Domains:

hxxp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion

hxxp://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did[.]onion

hxxp://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid[.]onion

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a

勒索軟體LockBit2.0攻擊泰國的曼谷航空,乘客的個人識別資訊(PII)遭外洩, 200多GB的數據被公開

Photo Credit: The record future

曼谷航空(Bangkok Airways)公司在8 月26 日給客戶的一份聲明中,就涉及護照資訊和其他個人數據的外洩發表道歉,該公司表示最初的入侵發生在 8 月 23 日,到目前為止,調查發現攻擊者可能已經存取了一些個人數據,但未說明有多少乘客受到影響。

操作LockBit2.0勒索軟體的背後駭客聲稱他們是這次攻擊曼谷航空的肇事者,並在其揭秘網站上發布消息,威脅該公司如果不支付高額贖金,就會洩露數據。LockBit2.0給了該航空公司五天的時間來付贖金,但很明顯的曼谷航空沒有乖乖就範而自行公開被入侵的情況,因此Lockbit2.0也在週六(8月28日)公佈了從曼谷航空盜來的200多GB的數據。

雖然大部分被盜資料似乎是與其業務有關的檔案,但曼谷航空公司表示,駭客仍設法竊取了包含部分乘客個人識別資訊的檔案。根據航空公司的說法,被盜檔案中包含的一些個人數據包括乘客姓名、姓氏、國籍、性別、電話號碼、電子郵件、地址、聯繫資訊、護照資訊、歷史旅行資訊,部分信用卡資訊和特殊餐飲資訊等數據,根據曼谷航空新聞稿,該公司在發現事件後,立即採取行動,在網路安全團隊的協助下調查並遏制該事件。目前,該公司正在緊急進行調查,核實洩露的數據和受影響的乘客,並採取相關措施加強其IT系統,並已將入侵行為通知了當地執法部門。

該公司建議乘客留意要警惕任何聲稱來自該航空公司的電子郵件或電話,因為這些可能是使用被盜數據進行的網路釣魚。曼谷航空公司還建議乘客盡快聯繫他們的銀行或信用卡提供商並更改密碼。

LockBit2.0是在 REvil、DarkSide 和 Avaddon 等競爭對手在今年夏天退出勒索市場之後,當今發動最多攻擊的勒索軟體之一。

本月早些時候,澳洲網路安全中心發布了一項警報,指出該LockBit勒索軟體在中斷其活動後重新啟動,並在第二波中以更大的力度回歸成為新的LockBit 2.0,其攻擊的特點是利用 CVE-20218-13379,這是 Fortinet FortiOS 和 FortiProxy 中的一個已知漏洞,允許駭客獲得對受感染網路的初始存取控制權。另外,LockBit2.0稱其工具StealBit是世上最迅速盜竊數據的神器,能在不到 20 分鐘內從受感染的系統迅速下載 100 GB 的數據。

有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a

SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36

MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

MD5: 0dd0cb0eda6374e48e6cc403151ac5ba

SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574

SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f

SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a

SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565

SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa

SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a