新興勒索軟體組織 Orca 崛起,瞄準台灣企業廠商

勒索軟體組織 Orca 近日於暗網上聲稱對一家台灣製造業廠商發動攻擊

Photo Credit: Dark Web

竣盟科技 近日於勒索軟體揭秘網站發現,有一新興勒索軟體 Orca (虎鯨) 浮現檯面,並對台灣某金屬製造廠商發動網路攻擊。Orca是一個最新出現的勒索軟體,而台灣企業隨即成為其攻擊目標,加上近來陸續有駭客組織對台灣機構或企業發動攻擊的事件,這顯示出台灣企業普遍存在資安防護不足的情況,使其儼然成為駭客集團發動攻擊的容易目標。駭客聲稱,該受害公司被駭資料共計有18 GB,其中包括5張圖片及45,319個檔案。

Photo Credit: Dark Web

據了解,Orca 勒索軟體組織的主要動機是財務因素,他們的信念是盡量避免對公司企業造成不必要的傷害。該組織於聲明中表示,「我們在追求財務收穫的同時也考量到道德的重要性,並遵守針對政府機構、醫院或非營利組織的嚴格政策,因為這些領域對社會至關重要。」

「我們的行動模式是以促進對話及尋求解決方案而非製造混亂和破壞。我們相信,創造一個企業可以參與進來,並且能有建設性地解決問題的環境,這樣可以為各方帶來更好的結果。這種模式使我們能夠以強調溝通協調及共同理解的方式來與企業組織互動,以促進經濟活動,同時盡量減少對社會基本功能運作的干擾。」

「在追求這些目標的過程中,我們致力於維持專業水準,優先考慮溝通和針對性互動的透明度,進而加強商業活動和網路安全可以共存的架構,而不會導致不必要的衝突或傷害。」

相較於之前先後攻擊台灣數家企業的勒索軟體組織RansomHub,這次發動攻擊的Orca 勒索軟體組織,知名度鮮為人知,相關細節資訊包括使用的軟體工具及攻擊手法等亦未被揭露,但仍不可掉以輕心,駭客集團或是勒索軟體組織的行動通常具有計畫性及持續性,需持續觀察並謹慎防備。

Photo Credit: Corporate Website

週四上午 竣盟科技 嘗試進入該受害企業的網站,但是該網站似乎因受到攻擊而暫時癱瘓,只出現了「無法連上這個網站」的訊息視窗。

針對這次事件的後續狀況以及進一步細節,竣盟科技也將密切關注其發展並做更詳實的資安訊息分享。

企業面對勒索軟體組織的網路攻擊,竣盟科技建議採取多層次的防備措施來減少風險和損失。以下是一些關鍵的防備步驟:

  1. 資料備份與復原計畫:定期備份重要資料於與主系統隔離的安全位置。
  2. 更新軟體與弱點掃描:定期更新所有系統的操作系統、應用程式和防毒軟體;另外應定期檢查系統中可能存在的安全漏洞。
  3. 多因子身份驗證 (MFA):限制未經授權的使用者進入關鍵系統。
  4. 網路分段 (Network Segmentation):通過將網路進行分段,限制勒索軟體在被攻擊系統中的橫向移動。
  5. 行為監控與威脅偵測:使用端點偵測與回應 (EDR) 工具,以及威脅情報分享。
  6. 與外部專業團隊合作與專業的資安公司合作,進行資訊安全評估、滲透測試等服務,以提升企業的資安防禦能力。

Orca 勒索軟體相關的部分的入侵指標(IOCs):

b8845a76e3942ff4d20ba4660ae926bb
eb90f945087c270a2ecc11753180ba4ecc270696
8ab79654152668be2c10be9cb17d941685e7733628dd7d38d6979516a75682ee

RansomHub再度入侵上市企業 台灣知名日系電機廠商機敏資料疑遭竊

RansomHub勒索軟體組織宣稱竊取總計500 GB的資料,其中包括產品設計圖

竣盟科技 日前發現RansomHub勒索軟體集團攻擊台灣某大出版廠商之後,台灣老牌日系電機廠商又驚傳成為RansomHub的攻擊目標。

據勒索軟體集團暗網所洩資料,其中包含該台灣電機廠商的10張產品設計圖及廠房圖紙等。相關資料亦透露這次駭客行動所竊之資料達500 GB,另外勒索軟體集團指定的贖金期限為9月9日。

RansomHub 是今年初才興起的勒索軟體集團,然而崛起之勢非常驚人,台灣陸續受到波及的企業就有三家,前後包括知名上市公司藍天電腦、某大教科書/出版廠商,以及這次的日系電機廠商,情勢不容小覷。

自2024 年2 月開始活動以來,RansomHub 已加密並竊取了至少210 個受害企業組織的資料,這些受害單位包括用水和汙水處理、資訊產業、政府單位、醫療保健和公共衛生機構、緊急服務、糧食和農業、金融服務機構、商業設施、製造業、運輸和通訊等重要基礎設施領域。

根據美國網路安全暨基礎設施安全局CISA 於8月29日發布的資料,RansomHub 隸屬團體通常會使用網路釣魚電子郵件 [ T1566 ]、利用已知漏洞 [ T1190 ] 和密碼噴灑攻擊 (Password spraying) [ T1110.003 ]等方法來侵害對向網際網路系統 (internet facing systems) 和使用者端點。而密碼噴灑攻擊的目的是侵入鎖定之帳戶,然後進一步造成資料外洩。

也發現RansomHub集團使用AngryIPScanner、Nmap等工具進行網路掃描,還有一種利用所謂living off the land (利用受害電腦裡現成的工具,來執行攻擊行動的有關任務)攻擊手法,是透過PowerShell來執行網路掃描[ T1018 ][ T1046 ][ T1059.001 ]。

自今年年初以來,RansomHub 聲稱已成功駭入包括美國非營利信用合作社Patelco、連鎖藥局Rite Aid佳士得拍賣行、美國電信商Frontier Communications和石油產業巨擘哈里伯頓等公司。Frontier Communications 隨後也發出通知警告共計超過 75 萬名客戶,他們的個人資訊因這次事件而遭到外洩。

FBI、CISA、跨州資訊共享和分析中心 (MS-ISAC) 以及衛生及公共服務部 (HHS) 發布的聯合公告也證實,網路攻擊者是以雙重勒索的方式展開攻擊行動。

這些聯邦政府機構建議,企業組織應該優先致力於修補已經被利用的漏洞,並且針對網路郵件、虛擬私人網路 (VPN) 和連結到重要系統的帳戶都要使用高強度密碼和多因子驗證 (MFA)。同時也建議保持軟體更新並執行弱點掃描,並將其作為資訊安全規範的標準程序。

聯邦機構補充道:「不鼓勵受害企業支付贖金,因為支付贖金並不能保證受害者的檔案資料會完全復原。」

「除此之外,支付贖金還可能促使駭客集團更大膽地去對其他企業組織發動攻擊,同時也間接鼓勵其他網路犯罪者去參與勒索軟體的散布或是資助這類非法活動。」

RansomHub勒索軟體相關的部分的入侵指標(IOCs):

34e479181419efd0c00266bef0210f267beaa92116e18f33854ca420f65e2087
36e5be9ed3ec960b40b5a9b07ba8e15d4d24ca6cd51607df21ac08cda55a5a8e
595cd80f8c84bc443eff619add01b86b8839097621cdd148f30e7e2214f2c8cb
7114288232e469ff368418005049cf9653fe5c1cdcfcd63d668c558b0a3470f2
7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a
8f59b4f0f53031c555ef7b2738d3a94ed73568504e6c07aa1f3fa3f1fd786de7
a96a0ba7998a6956c8073b6eff9306398cc03fb9866e4cabf0810a69bb2a43b2
e654ef69635ab6a2c569b3f8059b06aee4bce937afb275ad4ec77c0e4a712f23
ea9f0bd64a3ef44fe80ce1a25c387b562a6b87c4d202f24953c3d9204386cf00
fb9f9734d7966d6bc15cce5150abb63aadd4223924800f0b90dc07a311fb0a7e

勒索軟體 RansomHub 再度來襲,台灣知名教科書大廠成為目標

勒索軟體RansomHub日前攻擊台灣某大教科書/出版廠商

Photo Credit: RansomHub Dark Web

竣盟科技近日於勒索軟體RansomHub的揭秘網站發現,台灣某大教科書/出版廠商成為勒索軟體RansomHub 的攻擊目標,被駭資料共計425GB。

這並不是RansomHub第一次對台灣企業廠商發動攻擊。2024年6月,臺灣上市公司藍天電腦傳出遭到勒索軟體攻擊的消息,當時勒索軟體集團RansomHub聲稱他們竊取了藍天電腦200 GB的資料,並公布屬於該公司的10份文件,此外攻擊者表示他們是透過網路釣魚的手法侵入系統。

RansomHub 是一個相對較新的勒索軟體集團,被認為是 Knight 勒索軟體的繼任者。該組織在 2024 年 2 月浮出檯面後,迅速在網路威脅領域崛起,並引發相當大的關注。

一般相信,RansomHub 發源於俄羅斯,採用勒索軟體即服務(RaaS)的模式進行運作,這種商業模式讓合作夥伴可獲得高達 90% 的贖金收入,而剩下的 10% 則歸該集團所有。RansomHub 的攻擊目標遍及全球,包括美國、巴西、印尼和越南等國,且攻擊模式靈活多變,非常難以預測。

RansomHub 的勒索軟體以 Golang 語言編寫,這樣的選擇反映出勒索軟體開發者對該語言的偏好。Golang 的使用可能預示著未來的勒索軟體攻擊將更加地複雜且難以偵測,對現有的防護機制來說是更嚴峻的挑戰。

英國資安軟體和硬體公司Sophos早前揭露勒索軟體集團RansomHub在今年5月發起的攻擊行動,駭客先利用名為EDRKillShifter的惡意程式,企圖停用受害電腦上的Sophos端點防護程式;隨後,這個工具會利用存在漏洞的舊版驅動程式,進行BYOVD(自帶驅動程式)攻擊,試圖癱瘓端點防護系統,但此舉動也引起了注意。

EDRKillShifter 是一種「自帶驅動程式攻擊」(BYOVD) 工具,使用包含密碼字串的指令列來執行;最終的目的是利用驅動程式之中一個比較容易攻擊的合法驅動程式,以獲得權限來解除 EDR 的防護。

BYOVD的技術原理,使得攻擊者可以載入存在漏洞的合法驅動程式,以便他們可以覆寫核心附近的程式碼來執行特許權限功能。危險的地方在於核心驅動程式並不是惡意的,造成檢測上更加地困難。一旦載入了驅動程式,就可以更深入地探入系統,並且能夠擁有更大的權限來操控系統。

如何防護企業組織的資訊安全

加強監控端點安全,強化企業網路衛生 (cyber hygiene) 並維持系統最新的更新狀態。EDRKillShifter 工具的使用現況確實令人擔憂,從他們對 RansomHub 勒索軟體的使用上來看,顯示出他們的經驗豐富而且非常堅決。他們現階段正利用這種專門用於癱瘓端點偵測和回應 (EDR) 軟體的新工具,這表示他們的攻擊行動是非常地精細複雜。

RansomHub勒索軟體相關的部分的入侵指標(IOCs):

02e9f0fbb7f3acea4fcf155dc7813e15c1c8d1c77c3ae31252720a9fa7454292
104b22a45e4166a5473c9db924394e1fe681ef374970ed112edd089c4c8b83f2
2f3d82f7f8bd9ff2f145f9927be1ab16f8d7d61400083930e36b6b9ac5bbe2ad
34e479181419efd0c00266bef0210f267beaa92116e18f33854ca420f65e2087
36e5be9ed3ec960b40b5a9b07ba8e15d4d24ca6cd51607df21ac08cda55a5a8e
595cd80f8c84bc443eff619add01b86b8839097621cdd148f30e7e2214f2c8cb
7114288232e469ff368418005049cf9653fe5c1cdcfcd63d668c558b0a3470f2
7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a
8f59b4f0f53031c555ef7b2738d3a94ed73568504e6c07aa1f3fa3f1fd786de7

美國半導體巨擘 Microchip 因網路攻擊而造成營運中斷

美國晶片製造商 Microchip Technology 遭遇網路攻擊,嚴重影響其生產能力

Photo Credit: The Register

美國晶片製造商 Microchip Technology (微晶片科技) 日前遭遇到網路攻擊,導致旗下多家製造工廠的營運中斷。 2024 年 8 月 17 日,他們發現到針對公司 IT 基礎設施而進行的潛在可疑活動。

Microchip Technology Incorporated 是一家美國上市公司,產品包括微型控制器、混合訊號、類比和 Flash-IP 積體電路等。其公司總部位於亞利桑那州錢德勒,在多個產業領域共計有約 123,000 個客戶,其中包括工業、汽車業、消費性產業、航太和國防工業、通訊和電算機市場。

其晶圓廠位於亞利桑那州坦佩(Tempe)、俄勒岡州格雷舍姆(Gresham)和科羅拉多州科羅拉多泉(Colorado Springs)。該公司的組裝/測試工廠位於泰國北柳、菲律賓卡蘭巴和卡布堯。 2024財務年度銷售額為76億美元。

這次攻擊嚴重影響了Microchip的產能,他們關閉或隔離了部分系統以防範事件擴大。 Microchip Technology 尋求外部資安專家的協助,針對場域的安全漏洞展開了事件調查。公司方面證實,這次攻擊事件影響頗鉅,甚至可能影響到公司訂單的履行。

當Microchip Technology(微晶片科技公司)偵測到在其IT系統的潛在可疑活動後,於第一時間公司立即採取評估措施,想方設法遏止潛在的未授權活動,以期能及時補救。

2024 年 8 月 19 日,公司確認遭到未經授權的威脅者侵入,影響到公司某些伺服器的正常使用和部分的業務運作。公司立即採取了額外措施來應對這次事件,其中包括隔離受影響的系統、關閉某些系統,以及藉由外部資安顧問的協助來展開調查。

該公司向美國證券交易委員會 (SEC) 提交的FORM 8-K 報告中提到:「肇因於該事件,公司 (Microchip Technology) 某些生產設施的運作狀況低於正常水平,公司目前履行訂單的能力受到影響。」

目前Microchip Technology正在外部資安專家的協助下評估這次網路攻擊的程度和影響。同時公司也在努力修復受影響的IT系統,並嘗試盡快讓日常的業務運作回歸正軌。

該公司於聲明中補充到:「事件的調查仍在進行中,有關此次事件的涵蓋範圍、攻擊類型和影響層面等目前尚不明朗。」「截至此聲明發佈之日,公司尚未確定這次事件是否可能對公司的財務狀況或營運業務造成重大影響。」

雖然該公司尚未揭露這起事件的屬性及類型等細節資訊,但美國證券交易委員會的文件間接表明這次事件是歸因於勒索軟體攻擊。然而,目前尚未有勒索軟體組織聲稱對這起攻擊事件負責。

竣盟科技建議,半導體產業製造商及其他企業客戶,採取多重防護措施及最佳解決方案,可以有效幫助降低遭受勒索軟體攻擊的風險:

  1. 定期更新軟體:定期更新應用程式可確保修補任何已知漏洞,從而更好地防止潛在的漏洞。
  2. 對未經請求的訊息持懷疑態度:使用者應警惕未經請求的訊息,尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
  3. 驗證真實性:如果訊息聲稱來自 Authy 或 Twilio 等合法服務,使用者應在採取任何操作之前透過官方管道驗證其真實性。
  4. 啟用額外的安全措施:在可能的情況下,啟用額外的安全功能(例如生物辨識身分驗證或基於硬體的雙重認證)可以提供額外的保護層。
  5. 熟悉勒索軟體攻擊手段:了解常見的勒索軟體攻擊手法以及如何辨識它們並做出因應,可以顯著降低受到侵害的風險。

Toyota豐田汽車及CannonDesign被駭資料遭到外洩

 Toyota豐田汽車遭到勒索軟體集團駭入,共計240GB資料外洩

Photo Credit: StealthLabs

日前Toyota豐田汽車證實,他們的客戶資料遭到洩露。一名網路攻擊者在駭客論壇上洩露了他們從豐田的IT系統中竊取的 240GB 檔案資料。

針對這起事件,豐田回應道:「我們已經了解事件狀況。此次事件的範圍是局部性的,並沒有擴及整個IT系統。」

豐田補充說,「他們正在聯繫受到影響的客戶及人員,並在需要時提供協助。」目前尚未提供有關何時發現被入侵、攻擊者如何獲得存取權限以及有多少人的資料被暴露等資訊。

攻擊參與者 ZeroSevenGroup 聲稱已入侵豐田美國分公司,並竊取了 240GB 的檔案資料,內容涵蓋包括聯絡人、財務、客戶資料、計畫方案、員工資料、照片、資料庫、網路基礎設施、電子郵件和大量其他資料。

他們聲稱已經使用開源 ADRecon 工具收集了網路基礎設施資訊,包含憑證,這類工具可以幫助於從 Active Directory 環境中提取大量資訊。

豐田並未透露資料遭洩的確切日期,根據報導發現這些檔案被竊最早可以追溯到 2022 年 12 月 25 日。在這個時間點,攻擊者侵入備分伺服器,進而取得儲存於此的資料。

2023 年 12 月,豐田金融服務公司 (Toyota Financial Services) 通知客戶,公司遭遇了資料外事件,敏感性的個人資料及財務資料因勒索軟體攻擊而洩露,這起攻擊事件的影響範圍波及豐田的歐洲和非洲分公司。

2023 年 11 月 17 日,Medusa 勒索軟體集團 聲稱 參與了這起攻擊,並且威脅豐田如果不支付贖金,就會洩露被駭的資料。

CannonDesign資料外洩

Cannon Corporation (佳能集團) 旗下CannonDesign 正向 13,000 多名客戶發送資料外洩通知,告知客戶在 2023 年初的一次攻擊事件中駭客入侵了公司網路並竊取資料。

CannonDesign 是一家總部位於美國紐約州,屢獲殊榮的建築、工程和顧問公司,在學術性建築、醫院和體育場館等項目上的卓越表現而受到業界認可。

CannonDesign 開始向受影響的個人發送通知信,信中通報了 2023 年 1 月 19 日至 25 日這段期間發生的資安事件,該事件涉及未經授權的網路存取和資料外洩。

根據調查顯示,這場攻擊背後的執行者可能取得了姓名、地址、社會安全號碼 (SSNs) 和駕照號碼等資訊。

2023 年 2 月 2 日,Avos Locker 勒索軟體集團宣稱他們入侵了 CannonDesign 的系統,並且持有 5.7 TB 的被駭資料,其中包括公司和客戶相關檔案資料。

在勒索軟體集團索要贖金的計畫可能失敗後,他們將盜取資料轉到 Dunghill Leaks網站,該網站於 2023 年 9 月 26 日公佈了從 CannonDesign 竊取的 2TB 資料。這些資料包括資料庫轉儲 (database dumps)、專案圖表、聘僱文件、客戶詳細資訊、行銷資料、IT和基礎設施詳細資訊以及品質保證報告等。

Dunghill Leaks是 Dark Angels勒索軟體組織於 2023 年 4 月推出的資料外洩網站,用於迫使受害者支付勒索軟體集團要求的贖金。

攻擊豐田的勒索軟體Medusa的部分的入侵指標(IOCs):

a57f84e3848ab36fd59c94d32284a41e
e4b7fdabef67a0550877e6439beb093d
042ce9ab1afe035e0924753f076fcb20de0d1a1d
0823d067541de16325e5454a91b57262365a0705
4d5992de4601c4306885c71b0ba197184bb69221
78daa8b99d2fa422926465f36e13f31587b9e142
db5e29c0729486ba3833426093652451c5fca9b5
ee4575cf9818636781677d63236d3dc65652deab
3e19d1653c08206c55e1f835bd890b067b652b99a7b38bad4d78ad7490c6a0f8
4d4df87cf8d8551d836f67fbde4337863bac3ff6b5cb324675054ea023b12ab6

美國Kootenai Health醫院資料外洩事件影響超過 464,000名病患

Kootenai Health醫院受到勒索軟體集團ThreeAM的攻擊

Photo Credit: GBHackers

 Photo Credit: GBHackers庫特內醫院(Kootenai Health)近日披露了一起資料外洩事件,超過464,088名病患的個資受到影響,這些資料是被名為ThreeAM(3AM)的勒索軟體集團所洩露。Kootenai Health 是一家位於愛達荷州科達倫 (Coeur d’Alene) 的醫療機構。它是一個區域醫療中心,提供全方位的醫療服務,包括緊急護理、外科手術、癌症醫療和專門治療。 Kootenai Health 以致力於綜合性醫療而聞名,並且提供住院病床和門診服務。

根據庫特內醫院提交給緬因州總檢察長辦公室的資料外洩通知信,2024年3月2日,公司發現部分IT系統出現異常,隨即展開調查,並尋求業界頂尖的資安專家協同合作。

調查顯示,2024年2月22日左右,網路攻擊者入侵了庫特內醫院的網路,竊取了病患的個人資訊,包括姓名、出生日期、社會安全號碼、駕照或政府發行的身份證號碼、病歷號碼、治療資訊以及診斷資訊、用藥資訊及健康保險資訊等。

庫特內醫院表示,目前尚不知道有任何遭竊資訊被盜用的情況。他們盡快通知受影響的病患,並附上受影響個人如何註冊 12 至 24 個月個資保護服務的說明,依據受害者遭到洩露的是哪種資料,會予以相應的個資保護服務。

庫特內醫院表示,發現異常活動後,立刻採取相應措施以確保數位環境的安全。經過全面性的查驗,確認受影響的資料後,於2024年8月1日,庫特內醫院對受影響資料的後續處置措施也告一段落。

應對這次的事件,庫特內醫院宣布實施額外的安全措施,並已通知當地執法單位,包括聯邦調查局(FBI)。另外庫特內醫院還透過IDX公司 (入侵回應服務廠商) 提供免費的信用監控和個資竊盜保護服務。

凌晨3勒索軟體集團洩露資料

3AM勒索軟體集團已聲明他們確實參與了這次攻擊,並在他們的暗網入口網頁上洩露了被駭資料,這也間接表明了受害方尚未支付贖金。

遭竊資料包含一個 22GB 的檔案,這個檔案免費提供使用,任何其他網路犯罪分子都可以任意下載該檔案資料並用於其他進一步的攻擊行動。

網路安全技術廠商賽門鐵克 (Symantec) 的威脅獵捕團隊表示,3AM勒索軟體系列是在2023年9月首次被發現。這個軟體是用Rust程式語言編寫,在開始加密程序之前,它會嘗試中斷多種服務,並在加密完成後試圖刪除磁碟區陰影副本(Volume Shadow copies)。

被加密的檔案其檔名末端會被添加“.threeamtime”,此外這個勒索軟體還支援多種指令來阻止應用程式進行備份及資訊安全軟體的運作。另一個特性是此軟體僅對符合預設條件的檔案進行加密。

資安培訓認證公司Intrinsec分析師於一月份的報告中談到,他們發現3AM和Conti,the Royal等勒索軟體集團之間有著顯著的關聯性,表明這三個集團之間應該存在某種結盟關係。

ThreeAM勒索軟體相關的部分的入侵指標(IOCs):

079b99f6601f0f6258f4220438de4e175eb4853649c2d34ada72cce6b1702e22
307a1217aac33c4b7a9cd923162439c19483e952c2ceb15aa82a98b46ff8942e
680677e14e50f526cced739890ed02fc01da275f9db59482d96b96fbc092d2f4
991ee9548b55e5c815cc877af970542312cff79b3ba01a04a469b645c5d880af
ecbdb9cb442a2c712c6fb8aee0ae68758bc79fa064251bab53b62f9e7156febc
832a3c90b047e7c5dcfd373d238d16e33e238354d9b1af673003af22f4376e4c

邁凱倫 (McLaren) 醫院遭受 INC 勒索軟體攻擊而導致電腦、電話系統中斷

McLaren Health Care攻擊事件影響到旗下 13 家醫院及門診手術中心

Photo Credit: Medical Buyer

這個週二,位於密西根州的邁凱倫醫療 (McLaren Health Care) 遭受了一次嚴重的網路攻擊,這次攻擊事件已確認與 INC Ransom勒索軟體有關。根據報導,這場攻擊對McLaren醫療系統旗下的多家醫院構成了運營上的衝擊,使其醫療服務受到重大影響。

此次攻擊事件始於8月6日,McLaren Health Care發現其IT系統和電子病歷系統出現異常,隨後就發現遭受了勒索軟體攻擊。這款名為INC Ransom的勒索軟體以將重要檔案資料加密的方式來威脅受害者,要求支付贖金以換取解密密碼。由於大量醫療資料被加密,使得醫療人員無法正常存取病患資訊和進行日常的醫療運作。

報導指出,攻擊發生後,McLaren醫院不得不暫時改用人工方式處理病歷,這不僅大幅增加了工作負擔,也提高了醫療失誤的風險。急診室的運作也受到影響,部分病人需面臨更長時間的等待,這對病人的健康可能是潛在的威脅。

INC Ransom勒索軟體是一種新型的攻擊手法,通常經由釣魚郵件或網路漏洞進行攻擊。一旦成功入侵系統,該勒索軟體會加密大量檔案資料並索求高額贖金。受害者必須先支付贖金,之後才能換取解密工具來恢復資料,只不過即使已經支付了贖金,並不能確保攻擊者不會再次的入侵。

McLaren Health Care已經開始進行系統恢復和資料解密的工作,並且與聯邦調查局(FBI)及其他資安專家合作,試圖找出攻擊的具體來源和擴散範圍。雖然醫院方面並未透露是否已經支付贖金,但他們表示正在全力以赴處理這次事件。

INC Ransom最早大約出現於 2023 年 7 月,此後一直針對公共單位和民間組織企業。受害名單包括教育、醫療保健、政府和工業團體,例如Yamaha Motor Philippines (山葉機車菲律賓分公司)、Xerox Business Solutions(全錄商業方案公司)美國分公司和蘇格蘭國家醫療服務 (National Health Service)。

資訊專業媒體 BleepingComputer 對新的 Lynx 勒索軟體加密器和最新的 INC 加密器之間的字串進行了分析比對,除了有一小部分的改變之外,可以確定的是它們大部分都相同。

2023 年 11 月,McLaren 向近 220 萬人通報資料遭到外洩,源頭的網路攻擊則發生在 2023 年 7 月下旬至 8 月之間,其中包括他們的個資和病歷等醫療資訊遭到外洩。被侵入的資料包括姓名、社會安全號碼、健保和病歷資訊,其他還有醫療保險/醫療補助、處方/藥物、診斷結果和診療資訊等。

ALPHV/BlackCat 勒索軟體組織宣稱他們參與了2023 年 7 月的攻擊事件,以及後續於 10 月 4 日發生的資料外洩。

資安專家建議,醫療機構應該定期進行系統安全評估和資安演練,以檢測和改進現有的防禦措施。此外,定期備份關鍵數據也是防範此類攻擊的重要措施之一,這可以在系統遭受攻擊後,快速恢復業務營運,減少資料被駭的風險。

McLaren Health Care的這次事件不僅對醫療機構本身,也對整個產業提出了資安防護的新挑戰。隨著網路攻擊技術的持續演進,醫療機構必須不斷更新和加強其資安防護措施,才能有效應對各種網路安全威脅。

竣盟科技建議,醫療機構及其他企業網路用戶,採取多重防護措施及最佳解決方案,可以有效幫助降低遭受勒索軟體攻擊的風險:

  1. 定期更新軟體:定期更新應用程式可確保修補任何已知漏洞,從而更好地防止潛在的漏洞。
  2. 對未經請求的訊息持懷疑態度:使用者應警惕未經請求的訊息,尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
  3. 驗證真實性:如果訊息聲稱來自 Authy 或 Twilio 等合法服務,使用者應在採取任何操作之前透過官方管道驗證其真實性。
  4. 啟用額外的安全措施:在可能的情況下,啟用額外的安全功能(例如生物辨識身分驗證或基於硬體的雙重認證)可以提供額外的保護層。
  5. 熟悉勒索軟體攻擊手段:了解常見的勒索軟體攻擊手法以及如何辨識它們並做出因應,可以顯著降低受到侵害的風險。

傳出台灣某上市光纖網路設備大廠 遭仙人掌勒索軟體加密

Key Points:

*仙人掌勒索軟體自 2023 年 3 月以來一直活躍,迄今一直針對知名目標。

*主要針對 VPN 設備,尤其是 Fortinet VPN 中的漏洞。從事件中觀察到的趨勢表明,未經授權的存取通常是使用 VPN 服務帳戶透過 VPN 伺服器獲得的。

*仙人掌勒索軟體最奇特的一點是它會以自我加密逃避偵測。

6月11日竣盟科技在仙手掌揭秘的暗網中發現有台灣某光纖網路設備業者的頁面,駭客聲稱已盜得該業者的公司機敏資料,包括工程檔案、財務資料、客戶資訊、個人身份文件,資料庫備份等。作為證據,駭客公佈疑似該企業台灣員工的護照及中國籍員工的通行證。然而目前沒看到駭客勒索的金額及談判最終的有效期限,相對於其他被勒索的公司,本次的台灣業者被盜的資料顯然較少,仙人掌稱盜竊了93GB的數據。

自 2023 年 3 月以來仙人掌(Cactus)勒索軟體組織已成為一個重大威脅,利用各種策略來破壞企業網路並部署勒索軟體。據觀察,該組織以 VPN 設備為初始存取目標,並利用已知漏洞在受害者環境中站穩腳跟,同時仙人掌會濫用合法的遠端監控和管理 (RMM) 工具來實現受感染系統的持久性。Cactus 勒索軟體組織於2023 年3月出現,透過利用已知漏洞(尤其是VPN 設備中的漏洞)、採用Living-off-the-Land 等複雜技術以及利用合法網路工具進行橫向移動,迅速升級了其行動。該組織的方法涉及使用需要解密金鑰才能執行的加密有效負載,這有助於逃避安全工具的偵測。 仙人掌也使用 Cobalt Strike 等工具,並利用 TotalExec 等腳本來自動化加密過程,這與 BlackBasta 勒索軟體組織使用的策略非常相似。 仙手掌勒索軟體不僅僅止於加密。駭客為確保其存在深植於受感染的系統中,採用複雜的感染鏈並利用多層混淆來隱藏其活動。從使用UPX 打包和利用OpenSSL、AES OCB和ChaCha20_Poly1305等加密演算法,到組織重新啟動執行和枚舉網路共享,Cactus 展示了多方面的攻擊方法,確保其活動不僅成功,而且保持秘密性。Cactus 勒索軟體透過建立一個名為「更新檢查任務」的排程任務(每 5 分鐘運行一次)來確保其在受感染系統中持續存在,從而將勒索軟體作為SYSTEM 運行,並確保其惡意活動繼續順利進行。

仙人掌是雙重勒索軟體變種的一個例子,除了結合使用 RSA 和 AES 來加密資料外,惡意軟體還嘗試竊取資料。據觀察,仙人掌可以使用 Rclone 來實現此目的,它將被盜的文件移動到雲端儲存。一旦加密和洩漏完成,仙人掌就會在使用者的電腦上發布勒索資訊。

仙人掌發布的勒索信–cAcTuS.readme.txt

以下提供仙人掌相關的部分的入侵指標(IOCs):

be139fc480984eb31de025f25a191035

08d2c800c93015092e14738c941ac492

02e4da16377fc85e71a8c8378b2a8a96

8b37df9d295bbc2906961f72b7cdc5fb

8af259ad55c3746926e992c82bc7e850

55e42014424c0d120ff17f11e207e4f0

5f7c3cda7759ef6e577552ad322c1f64

39fe99d2250954a0d5ed0e9ff9c41d81

0e4ee38fe320cfb573a30820198ff442

8d2e4bef47e3f2ee0195926bbf4a25d5

f7a6d1e6e5436bd3c10f3a26f3e9b9b9

fb467a07f44e8d58e93e3567fd7ff016

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

勒索軟體Knight重新命名為RansomHub且加倍攻擊 傳出台灣電腦大廠遭駭

Knight(又稱 Cyclops 2.0)勒索軟體於 2023 年 5 月首次出現,採用雙重勒索策略來竊取和加密受害者的資料以獲取經濟利益。它可跨多個平台運行,包括 Windows、Linux、macOS、ESXi 和 Android。Knight利用網路釣魚和魚叉式網路釣魚活動作為惡意附件形式的分發媒介,並在RAMP網路犯罪論壇上推動廣涉及勒索軟體的攻擊。然而其勒索軟體即服務 (RaaS) 操作於 2024 年 2 月下旬關閉,並出售其原始程式碼,增加了勒索軟體轉手給其他駭客的可能性,據悉獲得該原始碼的駭客隨後並以Ransom Hub品牌重新出發。Ransom Hub 在同月發布了第一個受害者訊息,最近幾週與一系列高關注度勒索軟體攻擊有關,其中包括美國醫療集團 Change Healthcare、拍賣業者佳士得Frontier Communications(美國前線通訊公司)的攻擊。值得一提的是,Ransom Hub揚言不會攻擊獨聯體國家(Commonwealth of Independent States — CIS)包含古巴、北韓和中國。普遍認為這可能與俄羅斯有關,長期以來,俄羅斯一直對駭客犯罪活動視而不見,條件是這些活動不針對俄羅斯或其盟友。根據TheHackerNews報道,觀察到Ransom Hub 的攻擊是利用已知的漏洞 (例如ZeroLogon ) 來取得初始的存取權限,並在部署勒索軟體之前刪除Atera和Splashtop等遠端桌面軟體。

根據Malwarebytes分享的統計數據,僅在2024年4月, Ransom Hub 就與26起已確認的駭客攻擊事件有關,僅次於Play、Hunters International 、Black Basta和LockBit。另外,賽門鐵克一份報告中表示,Knight和Ransom Hub 這兩個系列的勒索軟體其程式碼重疊程度很大,很難區分它們。它們之間的重疊也延伸到用於編碼字串的混淆技術、機密檔案後遺失的勒索訊息,以及在開始加密之前以安全模式重新啟動主機的能力。唯一主要的區別是透過cmd.exe執行的命令集,儘管“相對於其他操作的呼叫方式和順序是相同的”。 昨日(6/6)也傳出藍天電腦遭Ransom Hub攻擊,被盜200Gb的資料,今天(6/7)該公司針對該起事件發佈重訊,稱其資安單位偵測網路傳輸異常,隨即啟動資安防禦及復原機制,目前未有無法營運或無法正常提供服務之情事。

根據美國知名網路安全公司Mandiant:”在近三分之一的事件中,勒索軟體是在攻擊者首次存取後48小時內部署的。” “百分之七十六(76%)的勒索軟體部署發生在工作時間之外,其中大多數是發生在清晨。” 而勒索軟體攻擊的特點在於用戶使用商業上可用的合法遠端桌面工具做為入侵操作,而不是依賴Cobalt Strike(滲透偵測工具)。對合法工具的日益依賴可能反應了攻擊者努力向檢測機制隱藏其操作,並減少自行開發與維護自訂工具所需要的時間與資源。

以下提供Ransom Hub相關的部分的入侵指標(IOCs):

勒索軟體的攻擊事件嚴重干擾了倫敦多家醫院

針對病理和診斷服務提供者 Synnovis 的勒索軟體攻擊嚴重影響了倫敦幾家主要醫院的運作。這次攻擊迫使受影響的醫院取消了一些醫療程序,在某些情況下,患者被轉移到其他醫院。

最近,醫療保健和病理服務提供者 Synnovis 成為勒索軟體攻擊的受害者。該事件涉及 麒麟(Qilin)勒索軟體的部署,麒麟勒索軟體作業於 2022 年 8 月以「Agenda」名稱啟動,但後來更名為麒麟。值得注意的是,這些勒索軟體攻擊通常充當更廣泛的網路間諜活動的掩護,針對高價值組織的敏感數據,然後將其用於情報目的,而不是純粹的經濟利益。

6 月 3 日,在第三方提供者遭受勒索軟體攻擊,導致醫療保健專業人員無法獲得病理學服務後,倫敦幾家最大的醫院已取消手術,並宣布進入緊急事件狀態。根據社群媒體上發布的發表貼文和內部電子郵件,勒索軟體攻擊影響了一家名為 Synnovis 的公司,該公司為多家醫療機構提供輸血驗血等病理學服務。受影響的醫院包括國王學院醫院、蓋伊醫院、聖托馬斯醫院、皇家布朗普頓醫院和伊芙琳娜倫敦兒童醫院。

 英國 NHS 發言人表示:“緊急護理仍然可用,因此患者應以正常方式獲得服務,在緊急情況下撥打 999 或撥打 111,患者應繼續赴約,除非另有通知。在政府國家網路安全中心和我們的網路運營團隊的支持下,我們正在緊急努力充分了解該事件的影響。”

受影響的醫院也取消了一些醫療程序(包括手術)或將其轉交給其他提供者,因為他們無法「安全」地執行這些程序。

由於不再提供快速週轉的血液檢測結果,受影響醫院的緊急護理也可能受到這次勒索軟體攻擊的影響。

Synnovis 客戶服務入口網站上的警報警告其資料中心出現問題,且所有系統目前都無法存取。

Synnovis 在其網站上發布的一篇文章中透露,它是勒索軟體攻擊的受害者:

6 月 3 日星期一,Synnovis成為勒索軟體網路攻擊的受害者。這影響了 Synnovis 的所有 IT 系統,導致我們的許多病理學服務中斷。該公司發布的聲明稱: 遺憾的是,這正在影響患者,由於優先處理緊急工作,一些活動已經取消或轉移給其他提供者。這家病理和診斷服務提供者已在 NHS 專家的幫助下對此攻擊展開調查。專家們正在努力全面評估攻擊的影響,並採取適當的行動來遏制事件。該公司還宣布,他們正在與 NHS Trust 合作夥伴密切合作,盡量減少對患者和其他服務用戶的影響。

Synnovis 前身為 Viapath,於 2009 年成立為 GSTS Pathology ,並於 2022 年 10 月切換為 Synnovis 品牌。

Synnovis 是 SYNLAB 英國和愛爾蘭、蓋伊和聖托馬斯 NHS 基金會信託基金以及國王學院醫院 NHS 基金會信託基金之間的合作夥伴。

Synlab Italia 是 SYNLAB 集團的一部分,在義大利各地運營 380 個實驗室和醫療中心,在被迫關閉 IT 系統以遏制勒索軟體攻擊後,該公司於 4 月下旬暫停了所有醫療診斷和測試服務。