日本跨國醫藥服務公司立力科,遭Rangar Locker勒索軟體攻擊

立力科於10月初曾公告其總部的伺服器遭非法存取,10月底發現其歐洲子公司也遭駭客攻擊

日本遊戲開發商巨頭卡普空也曾於2020年9月遭Ragnar Locker加密,被盜1TB數據

10月27日,日本立力科(Lincial) 在其官網上發布關於其歐洲子公司遭網路攻擊的資安事件。據了解,事緣於10月21 立力科歐洲子公司檢測到外部第三方網路攻擊而中斷了歐洲網路以及與日本、亞洲和美國連接的的網路,在經當地的IR資安公司進行恢復及評估後,聲稱沒有任何資訊外洩或破壞,但隨後在10月25日證實收到Ragnar Locker的勒索信,要求支付贖金以換取被盜的數據。立力科的總部位於日本大阪,為東京證券交易上市之公司並已於全球23個國家,包括台灣、歐洲及北美洲等地設立子公司,全球員工則超過1000位。

立力科官網

立力科同時證實不打算與駭客交涉也不会支付贖金,另一方面,操作Ragnar Locker勒索軟體的駭客也已在其揭秘網站上列出立力科的頁面,並稱該公司不在意數位安全。

由於立力科曾於10月5日,發布有關其日本總部檔案伺服器被非法的第三方存取的資安事件,這次遭Ragnar Locker攻擊是否也因非法第三方存取日本伺服而器引起?目前仍不得而知,但據了解立力科目前正配合外部第三方資安公司進行進一步的調查,並已經通報包括日本及歐洲有關當局。

以往曾被Ragnar Locker攻擊的知名受害企業包括:

*2021年6月台灣記憶體大廠威剛科技ADATA遭Ragnar Locker攻擊

*日本知名遊戲大廠卡普空,被盜1TB 數據,勒索1100萬美元的贖金

*義大利酒商Campari Group,被盜多達2TB未加密的檔案,提出高達1,500萬美元的贖金要求

*法國貨櫃船運業者CMA CGM ,要求1,000萬美元的贖金,最後CMA CGM以450萬美元支付贖金。

*葡萄牙跨國能源巨頭Energias de Portugal竊取了 10 TB 的,勒索1100萬美元的贖金

有關Ragnar Locker勒索軟體的入侵指標Indicators of compromise (IOCs):

SHA 1:

01fff32c5e016bfd3692072ef0ef5b943f2da110

af53890ed1d4753e7493d48862bdd7d18a2b11f6

0f944504eebfca5466b6113853b0d83e38cf885a

e22344a92c91b567a6cba7eb66686c438d479462

64b99b55f0a1ec4f8f30897a460c574300a8acbd

MD5:

9b2a874de86f10ff992a30febdb6f9e8

5b06303cdf191dae161e849841f8aff4

f7c48ee1f3ee1b18d255ad98703a5896

00fb3f27bccef7c5658ff9f5ce487cec

7529e3c83618f5e3a4cc6dbf3a8534a6

威剛遭駭的幕後黑手,Ragnar Locker勒索軟體!外媒爆駭客已盜取威剛1.5TB機密資訊,今已流出47.3MB數據

自4月27日起臺灣證交所規定,上市公司若發現重大資通安全事件,必須及時發布重訊,在5月26記憶體大廠威剛科技(ADATA)揭露受到勒索軟體攻擊,成了首間因重大資安事件而發布重訊的公司,但當時沒有透露為哪一支勒索軟體所為,今根據印度網站科技Nadu的報導, Ragnar Locker的背後駭客已在其揭秘網站上發佈有關ADATA的資料,稱是他們駭入ADATA的系統並已盜出 1.5TB 機密資訊,為了證明此言非虛,現已釋出一個名為”Proof Pack archive with gitlab” 檔案內含合約協議、存取檔案系統的螢幕截圖(screenshots of accessed filesystems)、電路板電路圖、法律文件、保密協議等。

另外駭客堅稱,他們確實提出“幫助”威剛修復漏洞並恢復他們的系統,但該公司拒絕合作,使他們不得不發佈其數據。目前駭客沒有透露索取贖金的金額也不清楚之後會否公開其他數據。

Ragnar Locker的揭秘網站上受害者名單
Ragnar Locker的揭秘網站上ADATA的頁面,駭客釋出47.3MB的數據供下載

據信ADATA事件,是Ragnar Locker勒索軟體的毒手首次伸延至臺灣企業。Ragnar Locker在國外其實臭名昭著,美國FBI 在2020 年 11 月發佈編號為MU-000140-MW的Flash Alert,警告各行業小心提防Ragnar Locker的攻擊。

Know about Ragnar Locker:

Ragnar Locker勒索軟體於2019年12月底首次被發現,它與Lockbit曾是Maze於2020年6月份成立的Maze Cartel勒索聯盟的一員,該聯盟旨在分享受害者資訊,攻擊手法和策略,目的在於提高攻擊和勒索效率,建立一個互惠互利的關係。Ragnar Locker常瞄準大型企業,要求的贖金規模通常在1,000萬美元左右。

Ragnar Locker曾攻擊的知名受害企業包括:

*日本知名遊戲大廠卡普空,被盜1TB 數據,勒索1100萬美元的贖金

*義大利酒商Campari Group,被盜多達2TB未加密的檔案,提出高達1,500萬美元的贖金要求

*法國貨櫃船運業者CMA CGM ,要求1,000萬美元的贖金,最後CMA CGM以450萬美元支付贖金。

*葡萄牙跨國能源巨頭Energias de Portugal竊取了 10 TB 的,勒索1100萬美元的贖金

有關Ragnar Locker勒索軟體的情資:

https://otx.alienvault.com/pulse/5fb7f6cd3444c292042e41db

https://otx.alienvault.com/pulse/5ee0fecd7663ca5837037ea0