美國參議員Ron Wyden在其Twitter上表示,美國數十個財政部(US Treasury) 的Email帳戶已被攻擊SolarWinds的背後駭客入侵。

參議員Ron Wyden“我非常擔心財政部被入侵事件。駭客存取了數十個電子郵件帳戶,其破壞程度尚不清楚。現在該認真考慮網路安全,並結束任何削弱加密的計劃。”該Twitter發文是在美國財政部和美國國稅局(Internal Revenue Service)向委員會通報SolarWinds供應鏈攻擊事件後發布的。雖然沒有證據表明美國國稅局本身或任何納稅人的數據在這次持續的攻擊活動中遭到破壞,但這位參議員說,“財政部被駭客入侵意味相對重大。”

數十個美國國庫電子郵件帳戶被盜

“根據財政部的工作人員,該機構遭受了嚴重的入侵,在7月開始,但其深度尚不清楚”,Wyden說: “Microsoft通知財政部,發現它們有數十個email帳戶被盜。”

這位參議員還補充說,SolarWinds供應鏈攻擊的背後駭客還入侵了美國財政部部門最高官員辦公室的系統,Wyden說:“財政部仍然不知道駭客的所有入侵行動,也不知道什麼資料被盜。”

在發現SolarWinds供應鏈被入侵後,多個組織包括FireEye,Microsoft,Cisco和VMware等披露了同樣遭駭客攻擊被植入了木馬程式。

微軟還透露,這一系列持續的攻擊破壞了其40多個客戶的網路,其中80%來自美國,44%來自IT部門。

FireEye更成為了攻擊者第二階段的目標,策劃攻擊的國家級駭客組織從其系統中盜取了紅隊工具。

自攻擊以來,已知受SolarWinds Orion平臺波及的組織不斷增加,目前已確認其網路遭到破壞的美國各州和政府機構:

美國財政部

美國國家電信和信息管理局(NTIA)

美國國務院

美國國立衛生研究院(NIH)(美國衛生部的一部分)

美國國土安全部(DHS)

美國能源部(DOE)

美國國家核安全局(NNSA)

美國的某些州(未披露的特定州)

有關SolarWinds供應鏈攻擊的情資,就在竣盟科技代理的 AlienVault OTX 情資平台上:

*****竣盟科技快報歡迎轉載,但請註明出處

https://otx.alienvault.com/pulse/5fdce61ef056eff2ce0a90de

https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8

https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812

勒索軟體Ragnar Locker的背後駭客利用被駭FB的帳戶在Facebook打廣告,公開宣傳受害公司被駭之資安事件

日本知名電玩開發商卡普空和意大利酒商Campari Group相繼遭Ragnar Locker勒索軟體攻陷後,資安專家Brian Krebs發現Ragnar Locker在11月9日晚上,為了迫使受害者付贖金,發起了旨在羞辱意大利酒商Campari Group的Facebook廣告活動,如下圖:

節目主持人Chris Hodson綁定的帳戶Hodson Event Entertainment被駭,投放宣傳Ragnar Locker攻陷Campari Group的資安事件
放大的廣告內容

Ragnar Locker犯罪組織在Facebook廣告活動說:“這看起來太荒謬像個大謊言,但我們確實竊取了機密數據,並且是大量的數據。” 廣告上說,Ragnar Locker團隊已盜了Campari Group的2 TB數據,並建議在美國東部時間今天(11月10日)下午6點前與其聯繫商討,以避免被公開數據。

資安專家Brian Krebs說,Facebook的廣告是由Hodson Event Entertainment支付的,Hodson Event Entertainment是由芝加哥的節目主持人Chris Hodson綁定的帳戶,Brian Krebs與Chris Hodson聯繫後,Hodson表示他的FB帳戶確實被駭,而這個未經授權的廣告活動吸引了大約7,150名Facebook用戶,產生了770次點擊,每次點擊成本為21美分。

Hodson說:“我以為我對所有帳戶都啟用了雙重驗證,但現在看來我唯一沒有設置的就是Facebook。

目前尚不清楚這是否是一個單一事件,或Ragnar Locker是否還利用不同的被駭Fb帳戶投放了廣告。Fb的發言人表示,該公司正在繼續調查此事件。

無庸置疑的是操作勒索軟體的駭客最近特別激進地向受害者施壓,要求他們付款。

Ragnar Locker勒索軟體情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5ee0fecd7663ca5837037ea0

Campari Group在星期一正式承認遭勒索軟體攻擊:https://ftaonline.com/news/campari-group-lattacco-malware-ha-causato-la-crittografia-di-alcuni-dati-su-alcuni-server

#情資才是王道

*****竣盟科技快報歡迎轉載,但請註明出處

瑞典議會的機密資料在Mount Locker勒索軟體入侵了 Gunnebo後被外洩,成為瑞典頭條新聞,引起社會輿論關注

瑞典安全公司Gunnebo週二表示,在兩個月前遭到駭客入侵後,現駭客發布了有關其公司的敏感數據,據瑞典外媒報導,約19 GB的大量數據已在暗網流出並可下載有關檔案。檔案包含瑞典議會的安全措施的有關資料,Gunnebo財務數據,銀行詳細資料和密碼以及客戶交易的詳細資料,有關政府警報系統安裝的藍圖和詳細的安全資料,辦公室和機場入口控制系統等等的敏感資料,大約有38,000個檔案。

當中最具爭議的外洩檔案為包括瑞典議會資安安排的細節以及瑞典稅務局在斯德哥爾摩郊區新辦公室的機密計劃。報導稱,至少有兩家德國銀行的銀行保險庫計劃被洩露,而其他檔案則顯示了瑞典SEB銀行分行的警報系統和監控攝像頭也被外洩。另資安外媒Hackread看過了這些數據,確認可以通過MEGA下載連結並正在不同的駭客論壇上分發。

Mount Locker勒索軟體竊取的數據列表

Gunnebo成立於1889年,是一家瑞典的跨國公司,為全球各類客戶提供物理安全,包括銀行,政府機關,機場,娛樂場所,珠寶店,稅務機關甚至是核電廠。該公司在25個國家/地區開展業務,擁有4,000多名員工,每年的收入達數十億美元。

竣盟科技建議針對勒索軟體的應對措施:

*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。

*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。

*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。

*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。

*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。

對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。

*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載,但請註明出處

資料來源: https://www.dn.se/ekonomi/enorm-sakerhetslacka-hemliga-uppgifter-om-riksdagen-och-banker-ute-pa-natet/

日本鹽野義製藥的台灣子公司遭REvil勒索軟體攻擊,部分被盜數據已被公開

根據日本經濟新聞和共同社在22日的報導,日本鹽野義製藥稱,台北銷售辦事處的電腦在本月中旬感染了電腦病毒。日本鹽野義製藥正在研發Covid 19疫苗,但稱沒有證據顯示在日本實驗室的電腦遭入侵的跡象,還表示雖在台灣設有臨床試驗營運據點,但不涉及尖端技術和個人資料。

REvil勒索軟體又稱為Sodinokibi,其背後的駭客組織在已其暗網網站上公開了鹽野義製藥台灣子公司的部分數據, 包含醫療器材進口許可證,員工的居留許可證,庫存明細等。REvil給了10天的聯繫時間並威脅稱,若不支付贖金將進一步公開資料。

由於全球的疫情仍未退減,有關Covid 19疫苗資料容易成為家級駭客或是純牟利駭客的攻擊目標。防患於未然,REvil及其他勒索軟體,主要透過

伺服器或軟體漏洞和釣魚攻擊而傳播,因此,定期更新並修復電腦的伺服器或軟體漏洞,可以減低被勒索軟體攻擊的機會。

有關REvil 的情資:

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

*****竣盟科技快報歡迎轉載,但請註明出處

耐人尋味的調查報告-美國CISA公佈聯盟機構受駭,列出駭客攻擊的步驟, 但未透露駭客組織


一份耐人尋味的調查報告

-沒有指出攻擊的駭客

-沒有指出日期(時間軸)

-沒有將攻擊歸因或連結到任何組織

美國網路和基礎設施安全局(CISA)在週四表示, 有駭客滲透進聯盟機構(Federal agency)取得權限並竊取了數據, 針對這起資安事件, CISA發佈了一份名為”in-depth incident response(IR)report的報告。

內容揭示了駭客通過不同的渠道取得聯邦機構內部網路的權限,如利用被入侵的Microsoft Office 365的憑證, 網域管理員帳戶以及該機構的Pulse Secure VPN伺服器上的憑證。CISA說攻擊者由Office 365登入,瀏覽並下載help desk有”內網存取”和”VPN 密碼”為主題的email附件,攻擊者還存取了該機構的本地AD並修改了設定和研究了該機構內部網路結構。

由於駭客裝置了SSH tunnel和反向SOCKS的proxy 的客制化軟體, 使其能快速往返聯邦機構的網路, 並將他們控制的硬碟以遠端共享的方式連接到該機構的網路。

CISA分析師說: 在共享硬碟的檔案可讓駭客留下更少的證據, 讓鑑識分析更艱難, 另外,攻擊者在機構的網路內建立了本地帳號, 並使用該帳號執行powershell命令, 收集重要檔案並壓縮成zip檔, CISA表示, 不能證實駭客是否有把zip檔取走, 但相信這是有可能的。


附圖為此次攻擊活動們入侵指標, 如欲了解更多關CISA公佈的駭客入侵聯邦機構的內容, 請參考此報告:


https://us-cert.cisa.gov/ncas/analysis-reports/ar20-268a

有關駭客入侵聯邦機構的相關情資, 盡在竣盟科技代理的AlienVault OTX情資平台上:

https://otx.alienvault.com/pulse/5f6d08b2d10722175748a71e

美國司法部正式起訴中國國家級駭客組織APT 41中的五名成員! 指控APT41入侵了全球高達100多家企業!

美國司法部9月16日宣布起訴隸屬於APT 41(或稱Winnti)駭客組織的五名中國駭客,美國指控APT 41精心策劃了對全球100多家公司的入侵,其中包括對軟體供應商,電遊公司,電訊公司等等。

美國資安公司FireEye曾在一份報告中將APT41視為「近年來中國網路間諜最廣泛活動之一」,也表示APT 41主要是替中國政府滲透全球科技、通訊和醫療保健機構等,也會為個人利益而利用勒索軟體鎖定電遊公司及攻擊加密貨幣商。APT 41小組是當今最臭名昭著,最活躍的國家資助的駭客組織之一,FireEye的報告發布後,2019年8月有兩名APT 41成員(張浩然和譚戴林)被美國司法部起訴,這是他們的起訴書:

上月2020年8月,其他三名APT 41成員(蔣立志,錢川,付強)也被起訴,美國指控這三名駭客對多家公司的入侵,據稱他們在一間由中國官員密切監督下運作的前台公司“成都404網路技術"工作,這是他們的起訴書:

根據CrowdStrike的首席技術官兼聯合創辦人Dmitri Alperovitch透露,美國官員攔截了一些線上聊天, APT 41成員蔣立志吹噓與中國國家安全部的密切聯繫以及只要他們不攻擊中國,所享有的保護。

除這5名中國駭客外,美國司法部今天也同樣起訴另外2名馬來西亞商人,他們涉及與其中2名中國駭客共謀入侵遊戲公司網路竊取資料並試圖在暗網出售,這是他們的起訴書:

據相信Seagm是他們經營的網站,是一個出售遊戲貨幣的網站。他們同時讓APT 41非法利用, 達取竊取資料的目的。

本月初,聯邦調查局(FBI) 獲得了法院令,扣押了APT 41在過去的行動中使用過的基礎設施,數百個帳戶,伺服器,域名,C2和失效網頁等。

最新APT 41入侵全球的相關情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5f62318a419e133716eca72d

*****竣盟科技快報歡迎轉載,但請註明出處

NetWalker的最新受害者–全球領先數據中心(Data Center)供應商巨擘Equinix透露遭駭,外媒爆料Equinix被勒索450萬美元!!!

數據中心巨擘Equinix營運且維護Amazon、Microsoft、Google、阿里巴巴等公有雲廠商,在昨天Equinix發佈了聲明,披露了資安事件,確認勒索軟體入侵其了內部系統,但同時表示不影響數據中心。“我們的數據中心和我們的服務產品(包括託管服務)仍然可以正常運作,該事件並未影響我們支援客戶的能力。”

根據BleepingComputer,Equinix得到的勒索信如下方截圖:

勒索信大約內容:“請查看此截圖https://prnt.sc/ [被編輯並模糊化]

如果您不與我們聯繫,我們會將您的數據公開發布。您可以在[被編輯並模糊化]的部落格上進行查看,您有3天的時間與我們聯繫,不然我們將在我們的部落格中發布帖文,或與所有可能的新聞站點聯繫,並將數據洩露給他們“

勒索信還包括Netwalker 的Tor付款站點的連結,NetWalker要求450萬美元的贖金(455比特幣)。如果Equinix不及時付款,贖金將增加一倍。

根據外媒得到Equinix被盜數據的屏幕截圖,顯示了來自被感染系統的檔案夾,這些檔案夾據稱包含公司數據,財務資料和數據中心報告。

檔案夾名稱包含了在澳洲的數據中心和工程師的檔案夾名稱,意味著其澳洲子公司可能受到威脅。

另外,根據Advanced Intel的Andariel智能平台的數據,有74個已知的Equinix遠端桌面(RDP) 伺服器及其登錄憑證在暗網和私下被出售。暴露的遠端桌面伺服器是駭客用來破壞網路最常用的入侵方法。

在這74台遠端桌面伺服器中,大多數集中在澳洲,土耳其和巴西。

Netwalker勒索軟體駭客組織在此期間非常活躍,幾天前它們入侵了巴基斯坦主要電力供應商K-Electric阿根廷官方移民局DirecciónNacional de Migraciones。另外,該駭客組織的另一個受害者是加州大學舊金山分校(UCSF),在6月底UCSF承認支付駭客114萬美元的贖金以恢復其被加密的數據。

 在7月美國FBI發布了有關Netwalker勒索軟體攻擊針對美國和外國政府組織的的安全警報。

最新的 NetWalker 勒索軟體的情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5f4d4e6034a4e01f2a0961ff

https://otx.alienvault.com/pulse/5edfd2ca2146e0ec9fd72499

*****竣盟科技快報歡迎轉載,但請註明出處。

美國威士忌中蟬連第一的田納西威士忌-Jack Daniel’s Whiskey的母公司Brown-Forman百富門集團遭受REvil勒索軟體攻擊,被盜竊1TB數據。

Pin on Whiskey
Jack Daniel’s 威士忌

美國最大的烈酒公司Brown-Forman,歷史悠久,旗下品牌眾多包括Jack Daniel’s Whiskey,Old Forester, Woodford,Glenglassaugh等等。Brown-Forman總部位於肯塔基州。在全球共有6000多名員工,年銷售收入20多億美金。

REvil勒索軟體背後駭客於上周五宣布,他們已經破壞了Brown-Forman的電腦網路,並用一個多月的時間檢查Brown-Forman的用戶服務,雲端數據存儲和總體結構。據外媒BleepingComputer報導, REvil勒索軟體背後駭客在其揭秘網站上發布了多個螢幕截圖,其中顯示了據稱屬於Brown-Forman的目錄和文件。Revil聲稱他們竊取了1TB數據,其中包括公司協議、合同、財務報表和內部通信的等等機密數據。



隨後Brown-Forman在一份聲明中披露了該事件,承認遭受到勒索軟體的攻擊,同時他們披露了有關該事件的一些細節,該公司也向當局報告了此資安事件,並聘請了世界一流的第三方數據安全專家來調查此事件並盡快解決此問題。Revil勒索軟體攻擊的最後一步是加密數據,但REvil此次並未部署此例程攻擊。Brown-Forman發言人告訴外媒,他們在數據被鎖定之前就發現了攻擊,並成功將其阻止。

Brown-Forman發言人說,很遺憾我們認為某些數據包括員工數據受到了影響。我們正在與執法部門以及世界一流的第三方數據安全專家緊密合作,以儘快緩解和解決這種情況。

REvil勒索軟體於五月駭入了美國娛樂律師事務所 Grubman Shire Meiselas & Sacks和斯里蘭卡電信, 六月攻擊了阿根廷電信和澳洲飲料大廠Lion公司, 七月入侵了西班牙國家鐵路公司Adif等等,行徑相當大膽!

有關REvil 的情資:

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

在勒索軟體攻擊之後,Garmin 重新回歸網路世界, 他們有付贖金嗎?

Garmin 開始恢復 Garmin Connect 等功能和服務,並稱客戶數據未受影響!

Garmin 生產線及網路服務,在上周遭到勒索軟體嚴重的攻擊後,現已開始恢復。

Garmin 發布了期待已久的新聞稿,也首次承認它們是某些加密系統的網路攻擊受害者,在其新聞稿中,Garmin 避免用到勒索軟體一詞:

一張含有 螢幕擷取畫面 的圖片

自動產生的描述

Garmin 在新聞稿中表示,受影響的系統正在恢復,服務重新上線,更表明沒有跡象表示任何客戶數據(包括來自 Garmin Pay 的付款資訊)被訪問,遺失或被盜。除了訪問線上服務的功能之外,Garmin 的其他產品均未受到影響。

為什麼 Garmin 直到現在才說它是受到網路攻擊? 為什麼對使用“勒索軟體”一詞保持沉默? Garmin 對於使用“勒索軟體”一詞非常警惕是有充分理由的,這可能是因為任何科技記者都可能會問的第一個問題是:“那麼您是否支付了贖金? ”這個問題,目前 Garmin 似乎還沒有回答。根據外媒 BleepingComputer 報導, 入侵 Garmin 駭客團體客要求高達 1000萬美元的贖金來解密並幫助恢復資料。

Garmin 是向網路攻擊背後的犯罪分子 Evil Corp 付贖金? 還是通過良好的傳統安全備份來恢復資料? 目前不得而知, Garmin 也沒有透露更多相關的情況。Garmin 似乎試圖向客戶保證,“沒有跡象表明”他們的個人數據已被訪問。

如果這是真的,那也是個好消息,因為 Garmin 的健身追踪器和其他技術,可能包含很多情報機構想要的大量資訊。

值得一提的是,被認為使用勒索軟體 WastedLocker 對 Garmin 進行網路攻擊的俄羅斯駭客團體 Evil Corp,該團體去年12月受到美國財政部的制裁。制裁意味著“禁止美國人與網路罪犯進行交易”另外,如果透過第三方付款,則也可能會受到美國財政部的制裁,該警告說:“外國人可能因與這些特定人士進行一筆或多筆交易而受到二級制裁。” 然而在數天之內可以從備份還原所有系統,而不是花費數個月的時間,不禁令人心生好奇,他們是如何做到的?

WastedLocker 最新的ATT&CK 的攻擊手法和情資在竣盟科技代理的 AlienVault OTX 平台上:

https://otx.alienvault.com/pulse/5f1aef99bb9f93a00956bf79

*****竣盟科技快報歡迎轉載,但請註明出處

證實法商電信巨擘Orange為Nefilim勒索軟體駭客組織的受害者!客戶包含法國飛機製造商ATR的資料已被竊取並公開!!

Orange logo

Orange集團承認他們遭受了勒索軟體的攻擊,暴露了其20家企業客戶的數據。

2020年7月15日,Nefilim 背後的勒索軟體的駭客已將Orange的資料放在其暗網揭秘網站上,並表示他們是通過”Orange Business Solutions”部門入侵Orange的。

Orange表示,Orange Business Solution部門在2020年7月4日(星期六)至7月5日晚上遭受到針對性的攻擊,致使Nefilim 的幕後駭手能訪問20家Orange Pro / SME的客戶數據。

值得一提的是, Orange的雲端託管虛擬工作站平台”Le Forfait Informatique”其平台使用者為企業客戶,負責託管工作站平台的IT支援正是Orange Business Services部門。

圖片來源:  bleeping computer

由於Nefilim 在揭秘網站上發布了一個名為“ Orange_leak_part1.rar” 339MB的存檔文件,並聲稱文件在入侵攻擊過程中從Orange竊取的數據。資安研究人員Ransom Leaks 分析,此存檔包含電子郵件,飛機示意圖和法國飛機製造商ATR Aircraft的文件。由此數據可表明ATR是Orange的Le Forfait Informatique平台的客戶,並且在此次攻擊過程中受牽連致使資料被盜,但ATR Aircraft沒有證實它們受勒索軟體攻擊。現在越來越多勒索軟體的組織公開這些被盜文件作為威脅,透過這種手段來迫使受害者支付贖金。Orange能透明化公開證實被駭是一件好事,但他們的客戶不見了得對此認同

Orange是一家法國電信公司,前身為法國電信France Télécom S.A,為企業提供消費者通信服務和商業服務。  Orange擁有2.66億客戶和148,000名員工,是歐洲第四大電信運營商。

AlienVault OTX情資平台有針對Nefilim 勒索軟體的相關情資:https://otx.alienvault.com/pulse/5eecd2be0dc1df57dba2a52c

另外Orange曾於2014被兩度被駭, 導致一百三十萬客戶敏感資訊外洩: https://thehackernews.com/2014/05/france-telecom-orange-hacked-again.html

參考來源: https://www.bleepingcomputer.com/news/security/orange-confirms-ransomware-attack-exposing-business-customers-data/

*****竣盟科技快報歡迎轉載,但請註明出處。