標籤: OTX平台

瑞典安全公司Gunnebo週二表示，在兩個月前遭到駭客入侵後，現駭客發布了有關其公司的敏感數據，據瑞典外媒報導，約19 GB的大量數據已在暗網流出並可下載有關檔案。檔案包含瑞典議會的安全措施的有關資料，Gunnebo財務數據，銀行詳細資料和密碼以及客戶交易的詳細資料，有關政府警報系統安裝的藍圖和詳細的安全資料，辦公室和機場入口控制系統等等的敏感資料，大約有38,000個檔案。

當中最具爭議的外洩檔案為包括瑞典議會資安安排的細節以及瑞典稅務局在斯德哥爾摩郊區新辦公室的機密計劃。報導稱，至少有兩家德國銀行的銀行保險庫計劃被洩露，而其他檔案則顯示了瑞典SEB銀行分行的警報系統和監控攝像頭也被外洩。另資安外媒Hackread看過了這些數據，確認可以通過MEGA下載連結並正在不同的駭客論壇上分發。

Gunnebo成立於1889年，是一家瑞典的跨國公司，為全球各類客戶提供物理安全，包括銀行，政府機關，機場，娛樂場所，珠寶店，稅務機關甚至是核電廠。該公司在25個國家/地區開展業務，擁有4,000多名員工，每年的收入達數十億美元。

竣盟科技建議針對勒索軟體的應對措施:

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階誘捕系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載，但請註明出處

資料來源: https://www.dn.se/ekonomi/enorm-sakerhetslacka-hemliga-uppgifter-om-riksdagen-och-banker-ute-pa-natet/

一份耐人尋味的調查報告

-沒有指出攻擊的駭客

-沒有指出日期(時間軸)

-沒有將攻擊歸因或連結到任何組織

美國網路和基礎設施安全局(CISA)在週四表示, 有駭客滲透進聯盟機構（Federal agency)取得權限並竊取了數據, 針對這起資安事件, CISA發佈了一份名為”in-depth incident response(IR)report的報告。

內容揭示了駭客通過不同的渠道取得聯邦機構內部網路的權限，如利用被入侵的Microsoft Office 365的憑證, 網域管理員帳戶以及該機構的Pulse Secure VPN伺服器上的憑證。CISA說攻擊者由Office 365登入,瀏覽並下載help desk有”內網存取”和”VPN 密碼”為主題的email附件,攻擊者還存取了該機構的本地AD並修改了設定和研究了該機構內部網路結構。

由於駭客裝置了SSH tunnel和反向SOCKS的proxy 的客制化軟體, 使其能快速往返聯邦機構的網路, 並將他們控制的硬碟以遠端共享的方式連接到該機構的網路。

CISA分析師說: 在共享硬碟的檔案可讓駭客留下更少的證據, 讓鑑識分析更艱難, 另外,攻擊者在機構的網路內建立了本地帳號, 並使用該帳號執行powershell命令, 收集重要檔案並壓縮成zip檔， CISA表示, 不能證實駭客是否有把zip檔取走, 但相信這是有可能的。

附圖為此次攻擊活動們入侵指標, 如欲了解更多關CISA公佈的駭客入侵聯邦機構的內容, 請參考此報告:

https://us-cert.cisa.gov/ncas/analysis-reports/ar20-268a

有關駭客入侵聯邦機構的相關情資, 盡在竣盟科技代理的AlienVault OTX情資平台上：

https://otx.alienvault.com/pulse/5f6d08b2d10722175748a71e

Garmin 開始恢復 Garmin Connect 等功能和服務，並稱客戶數據未受影響!

Garmin 生產線及網路服務，在上周遭到勒索軟體嚴重的攻擊後，現已開始恢復。

Garmin 發布了期待已久的新聞稿，也首次承認它們是某些加密系統的網路攻擊受害者，在其新聞稿中，Garmin 避免用到勒索軟體一詞:

Garmin 在新聞稿中表示，受影響的系統正在恢復，服務重新上線，更表明沒有跡象表示任何客戶數據（包括來自 Garmin Pay 的付款資訊）被訪問，遺失或被盜。除了訪問線上服務的功能之外，Garmin 的其他產品均未受到影響。

為什麼 Garmin 直到現在才說它是受到網路攻擊? 為什麼對使用“勒索軟體”一詞保持沉默? Garmin 對於使用“勒索軟體”一詞非常警惕是有充分理由的，這可能是因為任何科技記者都可能會問的第一個問題是：“那麼您是否支付了贖金？ ”這個問題，目前 Garmin 似乎還沒有回答。根據外媒 BleepingComputer 報導, 入侵 Garmin 駭客團體客要求高達 1000萬美元的贖金來解密並幫助恢復資料。

Garmin 是向網路攻擊背後的犯罪分子 Evil Corp 付贖金? 還是通過良好的傳統安全備份來恢復資料? 目前不得而知, Garmin 也沒有透露更多相關的情況。Garmin 似乎試圖向客戶保證，“沒有跡象表明”他們的個人數據已被訪問。

如果這是真的，那也是個好消息，因為 Garmin 的健身追踪器和其他技術，可能包含很多情報機構想要的大量資訊。

值得一提的是，被認為使用勒索軟體 WastedLocker 對 Garmin 進行網路攻擊的俄羅斯駭客團體 Evil Corp，該團體去年12月受到美國財政部的制裁。制裁意味著“禁止美國人與網路罪犯進行交易”另外，如果透過第三方付款，則也可能會受到美國財政部的制裁，該警告說：“外國人可能因與這些特定人士進行一筆或多筆交易而受到二級制裁。” 然而在數天之內可以從備份還原所有系統，而不是花費數個月的時間，不禁令人心生好奇，他們是如何做到的?

WastedLocker 最新的ATT&CK 的攻擊手法和情資在竣盟科技代理的 AlienVault OTX 平台上:

https://otx.alienvault.com/pulse/5f1aef99bb9f93a00956bf79

*****竣盟科技快報歡迎轉載,但請註明出處

Orange集團承認他們遭受了勒索軟體的攻擊，暴露了其20家企業客戶的數據。

2020年7月15日，Nefilim 背後的勒索軟體的駭客已將Orange的資料放在其暗網揭秘網站上,並表示他們是通過”Orange Business Solutions”部門入侵Orange的。

Orange表示，Orange Business Solution部門在2020年7月4日（星期六）至7月5日晚上遭受到針對性的攻擊,致使Nefilim 的幕後駭手能訪問20家Orange Pro / SME的客戶數據。

值得一提的是, Orange的雲端託管虛擬工作站平台”Le Forfait Informatique”其平台使用者為企業客戶，負責託管工作站平台的IT支援正是Orange Business Services部門。

由於Nefilim 在揭秘網站上發布了一個名為“ Orange_leak_part1.rar” 339MB的存檔文件，並聲稱文件在入侵攻擊過程中從Orange竊取的數據。資安研究人員Ransom Leaks 分析，此存檔包含電子郵件，飛機示意圖和法國飛機製造商ATR Aircraft的文件。由此數據可表明ATR是Orange的Le Forfait Informatique平台的客戶，並且在此次攻擊過程中受牽連致使資料被盜，但ATR Aircraft沒有證實它們受勒索軟體攻擊。現在越來越多勒索軟體的組織公開這些被盜文件作為威脅，透過這種手段來迫使受害者支付贖金。Orange能透明化公開證實被駭是一件好事，但他們的客戶不見了得對此認同

Orange是一家法國電信公司，前身為法國電信France Télécom S.A,為企業提供消費者通信服務和商業服務。  Orange擁有2.66億客戶和148,000名員工，是歐洲第四大電信運營商。

AlienVault OTX情資平台有針對Nefilim 勒索軟體的相關情資:https://otx.alienvault.com/pulse/5eecd2be0dc1df57dba2a52c

另外Orange曾於2014被兩度被駭, 導致一百三十萬客戶敏感資訊外洩: https://thehackernews.com/2014/05/france-telecom-orange-hacked-again.html

參考來源: https://www.bleepingcomputer.com/news/security/orange-confirms-ransomware-attack-exposing-business-customers-data/

*****竣盟科技快報歡迎轉載，但請註明出處。