傳出台灣某上市光纖網路設備大廠 遭仙人掌勒索軟體加密

Key Points:

*仙人掌勒索軟體自 2023 年 3 月以來一直活躍,迄今一直針對知名目標。

*主要針對 VPN 設備,尤其是 Fortinet VPN 中的漏洞。從事件中觀察到的趨勢表明,未經授權的存取通常是使用 VPN 服務帳戶透過 VPN 伺服器獲得的。

*仙人掌勒索軟體最奇特的一點是它會以自我加密逃避偵測。

6月11日竣盟科技在仙手掌揭秘的暗網中發現有台灣某光纖網路設備業者的頁面,駭客聲稱已盜得該業者的公司機敏資料,包括工程檔案、財務資料、客戶資訊、個人身份文件,資料庫備份等。作為證據,駭客公佈疑似該企業台灣員工的護照及中國籍員工的通行證。然而目前沒看到駭客勒索的金額及談判最終的有效期限,相對於其他被勒索的公司,本次的台灣業者被盜的資料顯然較少,仙人掌稱盜竊了93GB的數據。

自 2023 年 3 月以來仙人掌(Cactus)勒索軟體組織已成為一個重大威脅,利用各種策略來破壞企業網路並部署勒索軟體。據觀察,該組織以 VPN 設備為初始存取目標,並利用已知漏洞在受害者環境中站穩腳跟,同時仙人掌會濫用合法的遠端監控和管理 (RMM) 工具來實現受感染系統的持久性。Cactus 勒索軟體組織於2023 年3月出現,透過利用已知漏洞(尤其是VPN 設備中的漏洞)、採用Living-off-the-Land 等複雜技術以及利用合法網路工具進行橫向移動,迅速升級了其行動。該組織的方法涉及使用需要解密金鑰才能執行的加密有效負載,這有助於逃避安全工具的偵測。 仙人掌也使用 Cobalt Strike 等工具,並利用 TotalExec 等腳本來自動化加密過程,這與 BlackBasta 勒索軟體組織使用的策略非常相似。 仙手掌勒索軟體不僅僅止於加密。駭客為確保其存在深植於受感染的系統中,採用複雜的感染鏈並利用多層混淆來隱藏其活動。從使用UPX 打包和利用OpenSSL、AES OCB和ChaCha20_Poly1305等加密演算法,到組織重新啟動執行和枚舉網路共享,Cactus 展示了多方面的攻擊方法,確保其活動不僅成功,而且保持秘密性。Cactus 勒索軟體透過建立一個名為「更新檢查任務」的排程任務(每 5 分鐘運行一次)來確保其在受感染系統中持續存在,從而將勒索軟體作為SYSTEM 運行,並確保其惡意活動繼續順利進行。

仙人掌是雙重勒索軟體變種的一個例子,除了結合使用 RSA 和 AES 來加密資料外,惡意軟體還嘗試竊取資料。據觀察,仙人掌可以使用 Rclone 來實現此目的,它將被盜的文件移動到雲端儲存。一旦加密和洩漏完成,仙人掌就會在使用者的電腦上發布勒索資訊。

仙人掌發布的勒索信–cAcTuS.readme.txt

以下提供仙人掌相關的部分的入侵指標(IOCs):

be139fc480984eb31de025f25a191035

08d2c800c93015092e14738c941ac492

02e4da16377fc85e71a8c8378b2a8a96

8b37df9d295bbc2906961f72b7cdc5fb

8af259ad55c3746926e992c82bc7e850

55e42014424c0d120ff17f11e207e4f0

5f7c3cda7759ef6e577552ad322c1f64

39fe99d2250954a0d5ed0e9ff9c41d81

0e4ee38fe320cfb573a30820198ff442

8d2e4bef47e3f2ee0195926bbf4a25d5

f7a6d1e6e5436bd3c10f3a26f3e9b9b9

fb467a07f44e8d58e93e3567fd7ff016

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

勒索軟體Knight重新命名為RansomHub且加倍攻擊 傳出台灣電腦大廠遭駭

Knight(又稱 Cyclops 2.0)勒索軟體於 2023 年 5 月首次出現,採用雙重勒索策略來竊取和加密受害者的資料以獲取經濟利益。它可跨多個平台運行,包括 Windows、Linux、macOS、ESXi 和 Android。Knight利用網路釣魚和魚叉式網路釣魚活動作為惡意附件形式的分發媒介,並在RAMP網路犯罪論壇上推動廣涉及勒索軟體的攻擊。然而其勒索軟體即服務 (RaaS) 操作於 2024 年 2 月下旬關閉,並出售其原始程式碼,增加了勒索軟體轉手給其他駭客的可能性,據悉獲得該原始碼的駭客隨後並以Ransom Hub品牌重新出發。Ransom Hub 在同月發布了第一個受害者訊息,最近幾週與一系列高關注度勒索軟體攻擊有關,其中包括美國醫療集團 Change Healthcare、拍賣業者佳士得Frontier Communications(美國前線通訊公司)的攻擊。值得一提的是,Ransom Hub揚言不會攻擊獨聯體國家(Commonwealth of Independent States — CIS)包含古巴、北韓和中國。普遍認為這可能與俄羅斯有關,長期以來,俄羅斯一直對駭客犯罪活動視而不見,條件是這些活動不針對俄羅斯或其盟友。根據TheHackerNews報道,觀察到Ransom Hub 的攻擊是利用已知的漏洞 (例如ZeroLogon ) 來取得初始的存取權限,並在部署勒索軟體之前刪除Atera和Splashtop等遠端桌面軟體。

根據Malwarebytes分享的統計數據,僅在2024年4月, Ransom Hub 就與26起已確認的駭客攻擊事件有關,僅次於Play、Hunters International 、Black Basta和LockBit。另外,賽門鐵克一份報告中表示,Knight和Ransom Hub 這兩個系列的勒索軟體其程式碼重疊程度很大,很難區分它們。它們之間的重疊也延伸到用於編碼字串的混淆技術、機密檔案後遺失的勒索訊息,以及在開始加密之前以安全模式重新啟動主機的能力。唯一主要的區別是透過cmd.exe執行的命令集,儘管“相對於其他操作的呼叫方式和順序是相同的”。 昨日(6/6)也傳出藍天電腦遭Ransom Hub攻擊,被盜200Gb的資料,今天(6/7)該公司針對該起事件發佈重訊,稱其資安單位偵測網路傳輸異常,隨即啟動資安防禦及復原機制,目前未有無法營運或無法正常提供服務之情事。

根據美國知名網路安全公司Mandiant:”在近三分之一的事件中,勒索軟體是在攻擊者首次存取後48小時內部署的。” “百分之七十六(76%)的勒索軟體部署發生在工作時間之外,其中大多數是發生在清晨。” 而勒索軟體攻擊的特點在於用戶使用商業上可用的合法遠端桌面工具做為入侵操作,而不是依賴Cobalt Strike(滲透偵測工具)。對合法工具的日益依賴可能反應了攻擊者努力向檢測機制隱藏其操作,並減少自行開發與維護自訂工具所需要的時間與資源。

以下提供Ransom Hub相關的部分的入侵指標(IOCs):

勒索軟體的攻擊事件嚴重干擾了倫敦多家醫院

針對病理和診斷服務提供者 Synnovis 的勒索軟體攻擊嚴重影響了倫敦幾家主要醫院的運作。這次攻擊迫使受影響的醫院取消了一些醫療程序,在某些情況下,患者被轉移到其他醫院。

最近,醫療保健和病理服務提供者 Synnovis 成為勒索軟體攻擊的受害者。該事件涉及 Cheerscrypt 勒索軟體的部署,該勒索軟體與一個名為「Emperor Dragonfly」的中國駭客組織有關。該組還可以用其他名稱來標識,例如 Bronze Starlight(由 Secureworks 提供)和 DEV-0401(由 Microsoft 提供)。據了解,Cheerscrypt 背後的攻擊者因經常在各種勒索軟體病毒之間切換而聞名,例如 Night Sky、Rook、Pandora 和 AtomSilo。這種策略幫助他們逃避偵測和歸因,使直接追蹤他們的活動變得更加複雜。值得注意的是,這些勒索軟體攻擊通常充當更廣泛的網路間諜活動的掩護,針對高價值組織的敏感數據,然後將其用於情報目的,而不是純粹的經濟利益。

6 月 3 日,在第三方提供者遭受勒索軟體攻擊,導致醫療保健專業人員無法獲得病理學服務後,倫敦幾家最大的醫院已取消手術,並宣布進入緊急事件狀態。根據社群媒體上發布的發表貼文和內部電子郵件,勒索軟體攻擊影響了一家名為 Synnovis 的公司,該公司為多家醫療機構提供輸血驗血等病理學服務。受影響的醫院包括國王學院醫院、蓋伊醫院、聖托馬斯醫院、皇家布朗普頓醫院和伊芙琳娜倫敦兒童醫院。

 英國 NHS 發言人表示:“緊急護理仍然可用,因此患者應以正常方式獲得服務,在緊急情況下撥打 999 或撥打 111,患者應繼續赴約,除非另有通知。在政府國家網路安全中心和我們的網路運營團隊的支持下,我們正在緊急努力充分了解該事件的影響。”

受影響的醫院也取消了一些醫療程序(包括手術)或將其轉交給其他提供者,因為他們無法「安全」地執行這些程序。

由於不再提供快速週轉的血液檢測結果,受影響醫院的緊急護理也可能受到這次勒索軟體攻擊的影響。

Synnovis 客戶服務入口網站上的警報警告其資料中心出現問題,且所有系統目前都無法存取。

Synnovis 在其網站上發布的一篇文章中透露,它是勒索軟體攻擊的受害者:

6 月 3 日星期一,Synnovis成為勒索軟體網路攻擊的受害者。這影響了 Synnovis 的所有 IT 系統,導致我們的許多病理學服務中斷。該公司發布的聲明稱: 遺憾的是,這正在影響患者,由於優先處理緊急工作,一些活動已經取消或轉移給其他提供者。這家病理和診斷服務提供者已在 NHS 專家的幫助下對此攻擊展開調查。專家們正在努力全面評估攻擊的影響,並採取適當的行動來遏制事件。該公司還宣布,他們正在與 NHS Trust 合作夥伴密切合作,盡量減少對患者和其他服務用戶的影響。

Synnovis 前身為 Viapath,於 2009 年成立為 GSTS Pathology ,並於 2022 年 10 月切換為 Synnovis 品牌。

Synnovis 是 SYNLAB 英國和愛爾蘭、蓋伊和聖托馬斯 NHS 基金會信託基金以及國王學院醫院 NHS 基金會信託基金之間的合作夥伴。

Synlab Italia 是 SYNLAB 集團的一部分,在義大利各地運營 380 個實驗室和醫療中心,在被迫關閉 IT 系統以遏制勒索軟體攻擊後,該公司於 4 月下旬暫停了所有醫療診斷和測試服務。

麒麟勒索軟體攻擊澳洲法院系統 聽證紀錄遭竊

法院稱首次檢測到攻擊是在12月21日,但根據事後的調查,入侵發生於12月8日。

1月2日,澳洲維多利亞法院服務處 (Court Services Victoria-CSV) 披露,法院案件和法庭受到網路安全事件的影響,造成法庭內視聽技術網路被中斷,影響錄音和轉譯服務,攻擊者可能已存取聽證會紀錄。這次攻擊是在 12 月 21 日聖誕節假期前夕被發現的,當時工作人員的電腦被鎖定,螢幕上顯示主題為「YOU HAVE BEEN PWND」的訊息。維多利亞州法庭服務處執行長Louise Anderson透過聲明表示,需要時間來確定哪些錄音和筆錄受到影響,Anderson稱他們在2023 年 12 月 21 日首次檢測到網路攻擊,該攻擊允許駭客中斷運作並存取其錄音和筆錄的檔案。雖然在檢測到的當下,受影響的系統立即被隔離和停用,然而根據隨後的調查顯示,該入侵發生在更早的日期,即 2023 年 12 月 8 日。聲明指出2023年11月1日到12月21日的部分法院聽證會錄音可能已失竊;11月1日之前的一些聽證會錄音已在網路攻擊中被存取,據信,一些失竊的錄音可能涉及身份受法院保護令的人。

具體來說,以下法院和司法管轄區受到了安全事件的影響:

最高法院—上訴法院、刑事庭和實務法院於 12 月 1 日至 21 日期間舉行聽證會,並於 2023 年 11 月舉行兩次地區聽證會。

縣法院-2023 年 11 月 1 日至 12 月 21 日期間所有刑事和民事法院舉行聽證會。

治安法院-2023 年 11 月 1 日至 12 月 21 日期間審理了一些案件。

兒童法庭-2023 年 10 月起舉行一場聽證會。

驗屍法庭– 2023 年 11 月 1 日至 12 月 21 日期間舉行的所有聽證會。

澳洲法院將向那些被視為受事件影響的人發出通知,並已向包括維多利亞警察局、維多利亞州政府服務部和澳洲國家身分和網路支援社區服務 (IDCARE) 等單位通報了資料外洩事件,他們正在協助調查和應對。

儘管維多利亞法院服務處仍在重組受影響的系統,但維多利亞州法院的運作不會受到影響,預計於 2024 年 1 月審理的所有案件都將正常進行。維多利亞法院沒有透露對此次攻擊負責的網路犯罪分子的名字,但接受 澳洲 ABC News採訪的消息人士稱,此次攻擊是由麒麟(Qilin)勒索軟體組織發動的。麒麟勒索軟體作業於 2022 年 8 月以「Agenda」名稱啟動,但後來更名為麒麟。2022 年 10 月,台灣某上市製藥大廠也被列為其受害者。2023 年 11 月,一般來說,麒麟透過發送包含惡意連結的網路釣魚電子郵件來瞄準受害者,以存取其網路並竊取敏感數據,一旦麒麟完成初始存取,它通常會在受害者的基礎設施中橫向傳播,試圖找到要加密的關鍵統計數據。加密資料後,麒麟留下勒索字條“您的網路/系統已加密,加密的檔案具有新的檔案副檔名”,並要求勒索贖金以支付解密金鑰。

有關麒麟的部分入侵指標(Indicator of compromise -IOCs):

555964b2fed3cced4c75a383dd4b3cf02776dae224f4848dcc03510b1de4dbf4

417ad60624345ef85e648038e18902ab

76f860a0e238231c2ac262901ce447e83d840e16fca52018293c6cf611a6807e

fd7cbadcfca84b38380cf57898d0de2adcdfb9c3d64d17f886e8c5903e416039

三家德國醫院在平安夜遭到LockBit勒索軟體的攻擊

Photo Credit: KHO

德國東威斯特法倫天主教醫院協會(Katholische Hospitalvereinigung Ostwestfalen-KHO) 已證實由其經營的三家醫院Franziskus Hospital Bielefeld、Sankt Vinzenz Hospital Rheda-Wiedenbrück和 Mathilden Hospital Herford在2023 年 12 月 24 日凌晨遭到網路攻擊,造成整個 IT 系統中斷。KHO發布的公告中寫道:“身份不明的攻擊者已經存取了醫院 IT 基礎設施的系統,並加密了數據。初步調查表明,這可能是 Lockbit 3.0 的網路攻擊,目前無法預見解決時間。出於安全原因,所有系統一經發現立即關閉,並通知所有必要的各方和機構。”由於目前,調查正在進行中,入侵程度以及攻擊者是否竊取資料尚未確定。

根據BleepingComputer的報道,KHO營運的以下三家醫院受到了網路攻擊的影響:

Franziskus Hospital Bielefeld 醫院 – 614 床、10 個專科科室、390 名醫生和工作人員

Sankt Vinzenz Hospital Rheda-Wiedenbrück 醫院 – 614床,5個專科室,200名醫生和工作人員

Mathilden Hospital Herford 醫院 – 614 床、8 間專科室、230 位醫生和工作人員

上述醫院在德國的所在地提供醫療保健服務方面發揮著關鍵作用,因此影響其 IT 系統的網路攻擊會給處於醫療緊急情況的人帶來可怕的影響。

根據KHO的聲明,受影響醫院的患者治療繼續正常進行,所有診所業務仍然可用,但存在一些技術限制。透過成功恢復備份,仍然可以存取重要的患者資訊。然而,KHO 的三家醫院無法提供緊急護理,因此急需醫療護理的人員被轉移到其他地方,可能會導致嚴重的延遲。

截至本文撰寫時,LockBit 勒索軟體集團尚未將 KHO 添加到在其暗網揭秘網站中,因此網路犯罪分子是否竊取了患者資料或其他敏感資訊尚未確定。

Black Basta攻擊已過兩個月 多倫多公共圖書館至今仍是犯罪現場 對外服務將於明年一月逐步恢復?!

Photo Credit: TripWire

多倫多公共圖書館(Toronto Public Library-TPL)仍處於從Black Basta勒索軟體攻擊中恢復的過程中,Black Basta攻擊限制了其服務,令TPL的運作方式大規模的改變。圖書館人員以手工核對材料,任何退回的書本或物品都無法重新登入系統中,,大約有 100 萬件物品裝滿了 10 輛拖拉機拖車。圖書館內的公共電腦已關閉,無法提出跨分館圖書轉移請求。

多倫多市圖書館館長Vickery Bowles週三發表了一份新聞稿,解釋了自 10 月底攻擊事件曝光以來圖書館所面臨的災難性局。Bowles表示,該圖書館擁有 100 個分館,擁有 5,000 多名員工,其服務將於 1 月底開始逐步恢復。

儘管他們花了數週時間試圖恢復服務,但圖書館的線上帳戶仍然無法使用,公共電腦和印表機也無法使用。這對於依賴城市圖書館作為主要網路存取來源的人來說是毀滅性的——特別是低收入城市居民和學童。

Bowles表示,雖然許多圖書館服務仍在繼續運營,但隨著調查的繼續,圖書館仍然是犯罪現場。我們知道我們員工的個人資訊被盜,我們將在網路安全專家的支持下繼續調查資料外洩的程度。我們知道,我們是多倫多許多最弱勢群體獲得電腦的唯一管道。他們無法滿足日常需求,這尤其具有挑戰性和令人擔憂。我們還收到了依靠我們的電腦完成學業的學生、依靠我們印表機列印簡歷的求職者以及使用圖書館電腦與家人和朋友保持聯繫的人們的來信。

Bowles補充說,家庭、研究人員和其他人告訴圖書館,他們的有限存取使生活「變得更加艱難和更加昂貴」。Bowles表示,儘管遇到了困難,圖書館仍能允許顧客借閱 50 萬個實體資料,仍有近 1 萬人能夠註冊借書卡。

Bowles解釋說,漫長的恢復過程需要幾個月的時間,因為圖書館需要以一種能夠防止未來攻擊的方式恢復所有內容。

「前面的路很長,但我們期待著全面回歸,」Bowles說。“儘管這些犯罪分子傷害了我們,但他們當然沒有阻止我們履行我們的使命,即提供免費和公平的圖書館服務,以滿足多倫多人民不斷變化的需求。”

Black Basta是一個在2022年4月才出現的勒索軟體組織,已被用來攻擊全球超過 329 個組織,並已成為 2022-2023 年受害者數量第四大活躍的勒索軟體,Black Basta 沒有採用激進的前端策略,而是精心針對美國、日本、加拿大、英國、澳洲和紐西蘭的組織。研究人員認為Black Basta 可能是 Conti 的一個分支。在該組織於 2022 年 5 月解散之前,Conti的線上聊天內容被洩露,暗示其與俄羅斯政府有聯繫,並支持入侵烏克蘭。根據Elliptic 和 Corvus Insurance 的聯合研究發現,自 2022 年以來,Black Basta 勒索軟體組織已收到至少 1.07 億美元的比特幣贖金。Black Basta慣用雙重勒索策略,先竊取被害者敏感檔案和資訊,並威脅要公開資料來勒索被害者支付贖金。研究發現 Black Basta 針對VMWare ESXi伺服器製作的新型勒索軟體,同時也有感染 Windows 系統的版本。此外,許多攻擊都利用 Qakbot(也稱為 QBot)來幫助其在組織中橫向傳播、執行偵察、竊取資料和執行有效負載。

2023 年,多個城市圖書館系統面臨攻擊,其中包括涉及大英圖書館(世界上最大的圖書館之一、英國國家圖書館)的重大事件。

勒索軟體Black Basta的部分入侵指標(Indicator of compromise -IOCs):

e8f5fa12faea9430645853fbb24ce46a5a62cb906168dd17b62d865ddfe201e3

e2eb9029fd993a9ab386beb7ca4fa21a1871dc0c7568eb802cac1ea3c53cad8b

d4dd79c97b091dd31791456c56d727eb0b30af9c0172dd221556d28495b8a50f

cd5b4bd824bad0be78e4cdf6d7fe8a950bd63f294713b8cb49de887d8a8410bc

4f7d97bf4803bf1b15c5bec85af3dc8b7619fe5cfe019f760c9a25b1650f4b7c

102.184.151.194

102.40.236.32                

104.194.10.130                      

104.243.38.65                

105.111.60.60

 美國密蘇里州的自由醫院 遭新型勒索軟體Inc.攻擊後轉移病患

Photo Credit: https://twitter.com/BrettCallow/status/1737657266105667895

密蘇里州堪薩斯城(Kansas City)的一家名為自由(Liberty) 的醫院本週因網路攻擊限制其系統而難以為患者提供護理。自由醫院在周三(12/21)的更新中表示,該醫院仍在處理週二開始的電腦系統中斷問題。該機構最初不得不將一些患者轉移到其他醫院,但官員表示情況已經穩定,我們繼續按照標準的斷網方案照顧患者。我們沒有在一夜之間將任何額外的患者轉移到其他設施。今天,我們繼續積極調查中斷的根源。

醫院在周三的更新中表示,病患的安全和照護以及讓我們的系統恢復上線是我們的首要任務。我們預計這個過程需要時間。我們的初級和專科護理診所繼續接待某些患者,並根據需要重新安排其他患者。如果您需要重新配藥,請致電您的提供者辦公。

週二(12/20),醫院敦促那些需要醫療護理的人去其他醫院。官員表示,一些患者被轉移到其他機構,多家當地新聞媒體報道稱,醫院聯繫了堪薩斯城消防局等消防和緊急醫療服務部門,尋求幫助轉移患者。

週二,自由醫院營運長Mike Hopkins告訴《堪薩斯城星報》,消防部門運送了約 30 名患者,另有 10 至 15 名患者被緊急醫療服務機構送往其他醫院。該醫院在周二的聲明中解釋說,在電腦系統癱瘓的情況下,它仍一直在努力記錄患者護理情況。

官員們無法透露這個問題會持續多久,醫生正在與預約的患者聯繫,以找出替代方案。幾名患者告訴當地新聞媒體的記者,他們對不得不重新安排所需的預約感到沮喪,有些患者是在到達醫院後才發現的。

儘管該醫院沒有回應有關這是否是勒索軟體事件的置評請求,但KMBC 報道稱,獲得了獨家消息,該醫院的官員收到了一張勒索信。“我們已經入侵你並下載了你公司的所有機密資料。據報道,該消息稱,它可以傳播給人們和媒體。你的名譽將會被毀掉。不要猶豫,拯救您的生意。我們是能夠快速恢復您的系統的人。從現在開始,您有72小時的時間聯繫我們。” 資安專家Brett Callow亦在其X貼文中證實,Inc.勒索軟體為這次的幕後黑手。

Inc.勒索軟體是2023 年 7 月出現的新型勒索軟體,Inc.將自己定位為受害者挽救聲譽的服務提供者, Inc.勒索軟體業者針對多個行業,這包括對醫療保健、教育和政府實體的攻擊。觀察到的方法包括魚叉式網路釣魚電子郵件以及針對易受攻擊的服務。這包括 Citrix NetScaler 中CVE-2023-3519的利用。一旦威脅行為者獲得初步存取權限,就會利用各種COTS或LOLBIN來繼續內部偵察和橫向移動。與 Inc. 勒索軟體操作相關的工具包括:

NETSCAN.EXE – 多協定網路掃描器和分析器

MEGAsyncSetup64.EXE – 用於 MEGA 檔案共用/同步/雲端服務的桌面應用程式

ESENTUTL.EXE – 用於資料庫管理和復原的 Microsoft 實用程式

AnyDesk.exe – 遠端管理/遠端桌面

勒索軟體攻擊者不休假,這次聖誕節假期攻擊為勒索軟體組織持續專門針對醫療機構的災難性的一年畫上句號。2023 年全年,數十家醫院在勒索軟體攻擊後被迫轉移救護車並關閉部門,危及數千人的生命。

Sony旗下遊戲商Insomniac Games遭勒索軟體Rhysida攻擊,被勒索200 萬美元

Insomniac Games 是《拉捷特與克拉克》系列和《漫威蜘蛛人》系列等遊​​戲的開發商,遭Rhysida勒索軟體入侵,連目前正打造的全新遊戲《漫威金鋼狼》的大量遊戲資料如遊戲截圖及角色設計等遭到駭客提前被曝光。

12月13日,Sony旗下電玩遊戲開發商 Insomniac Games 的系統據稱遭到Rhysida 勒索軟體集團的駭客攻擊,Rhysida聲稱對這起事件負責,並宣布,如果 Insomniac和Sony不付款,該組織將以 50個比特幣(200 萬美元)的價格出售所獲得的所有數據。

作為成功入侵的證據,Rhysida公開了 Insomniac Games機密數據,這些資料包括《漫威金鋼狼》遊戲截圖、其他漫威相關角色圖片、公司員工的護照掃描檔案,甚至包括在《漫威蜘蛛人》系列中為「蜘蛛人」主角Peter Parker配音的配音演員 Yuri Lowenthal ,其個資也被公布,其餘外洩資料還包括公司內部電郵和已簽署的機密文件等等。

Sony已就此事向《Video Games Chronicle》發表聲明,寫道「我們獲悉有關 Insomniac Games 成為網路安全攻擊受害者的報導」。該公司表示,“目前正在調查這一情況”,但指出,但無理據顯示,其他Sony部門亦受影響。

Rhysida 是網路犯罪領域相對較新的參與者,首次出現於 2023 年 5 月。美國聯邦調查局(FBI)、網路安全暨基礎設施安全局(CISA)就曾在 11 月對 Rhysida 的攻擊行動發出警告, 將其歸類為針對各行業「機會目標」的威脅者,攻擊目標包括教育、醫療保健、製造、資訊科技和政府。據了解該組織已針對近50個組織發起了攻擊,其中包括智利政府大英圖書館Prospect Medical Group進行了高調的攻擊,Rhysida經營著一種以盈利為主的勒索軟體即服務 ( RaaS ),據信Rhysida的前身是Vice Society勒索軟體。根據Check Point的研究,Rhysida 和 Vice Society 部署的策略包括遠端桌面協定 (RDP) 連線、遠端 PowerShell 工作階段 (WinRM) 以及使用 PsExec 等工具進行橫向移動。值得一提的是,攻擊者展示了先進的防禦規避能力,刪除日誌和取證工件以阻礙偵測和分析,Rhysida 的勒索軟體負載部署從最初的橫向移動到廣泛部署僅花了八天。

Rhysida的部分入侵指標(Indicator of compromise -IOCs):

f875ebf4c6809e76775d54f389840da67d236b36

5b1bb39d0caa11e4ce62248ff2d031dae28725fc

6633fa85bb234a75927b23417313e51a4c155e12f71da3959e168851a600b010

4e34b9442f825a16d7f6557193426ae7a18899ed46d3b896f6e4357367276183

97766464d0f2f91b82b557ac656ab82e15cae7896b1d8c98632ca53c15cf06c4

又傳台灣上市企業遭LockBit攻擊 自動化設備大廠疑遭殃

某台灣著名的智慧自動化設備大廠,據稱已成為臭名昭著的 LockBit 勒索軟體組織的受害者。12 月 4 日,操作LockBit勒索軟體的背後駭客在其揭秘網站上,發布了對有關自動化設備大廠網路攻擊的訊息,目前駭客並沒有公開截圖、所盜的數據量及任何攻擊的細節,然而卻發出最後通牒,威脅要在 2023 年 12 月 8 日曝光該大廠的敏感資料。據觀察該網站似乎可以正常運行,沒有明顯的網路攻擊跡象,攻擊是否針對的是該公司的資料庫,暫仍不得而知。

LockBit 勒索軟體組織是誰?

LockBit 勒索軟體組織是一個以勒索軟體即服務 (RaaS) 模式運作的網路犯罪組織,因其雙重勒索策略而臭名昭著。這涉及對受害者數據進行加密並威脅要外洩露數據,除非駭客的贖金要求得到滿足。

根據多個政府機構的聯合聲明,LockBit 勒索軟體組織被評為2022 年全球最多產的勒索軟體,佔44 %全球勒索軟體事件。光是在美國,2020 年 1 月至 2023 年 5 月期間,LockBit 勒索軟體組織就參與了約 1,700 起勒索軟體攻擊,累積了高達 9,100 萬美元的贖金。值得注意的是,該組織仍然出於經濟動機,沒有正式歸屬於任何特定的國家,但一般認為LockBit與俄羅斯有關聯。

LockBit 勒索軟體組織因其研發的「StealBit」(一種自動提取資料的惡意軟體工具)而引起關注。該工具與更版的LockBit 2.0 一起發布,具有快速且高效的加密功能。LockBit稱其該工具是世上最迅速盜竊數據的神器。此外,LockBit透過推出 Linux-ESXI Locker 1.0 版擴大了其影響範圍,目標是Linux主機,特別是 ESXi 伺服器。2022 年 6 月,LockBit打著讓勒索軟體再次偉大( Make Ransomware Great again)的口號,推出3.0新版

2023 年 11 月,美國CISA、FBI 警告企業LockBit針對名為Citrix Bleed漏洞(CVE-2023-4966,CVSS風險評分為9.4)的零時差漏洞),作出廣泛利用。LockBit 的廣泛影響力遍及全球各個行業,包括醫療保健和教育部門成為主要目標。根據趨勢科技的數據,美國、印度和巴西位居最常遭受 LockBit 惡意活動的國家名單之首。

台灣高科技產業無疑也是駭客的攻擊目標:

2023年11月北韓駭客Diamond Sleet針對台灣訊連科技用戶發動供應鏈攻擊

2023年11月Hunters International勒索軟體入侵台灣上市生醫

2023年8月勒索軟體NoEscape攻擊台灣上市電子公司,盜走50GB的數據

2023年4月微星(MSI)遭Money Message 勒索軟體入侵,被勒索約1億2千萬新台幣

2023年3月Acer約160Gb資料遭駭客兜售

2022年12月傳出LockBit入侵台灣汽機車機電系統整合大廠及觸控面板大廠

2021 年 3 月Acer被REvil勒索軟體攻擊並被勒索5000萬美元的贖金

2021 年 10 月 18 日, Desorden Group駭入宏碁台灣的系統,盜走並釋出Acer員工的敏感資料

2020年 10 月研華科技遭Conti勒索軟體入侵,約1300萬美元

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 www.billows.tech , 以免觸法”

談判破裂 美國醫療保健服務業者Henry Schein漢瑞祥兩度遭BlackCat勒索軟體攻擊

#不到兩個月內遭受了兩次重大勒索軟體攻擊

Photo Credit : Gridinsoft

美國醫療保健巨頭 Henry Schein漢瑞祥面臨自 10 月以來的第二次重大網路攻擊,勒索軟體組織 BlackCat聲稱對攻擊負責。根據BleepingComputer的報道,10 月 15 日,BlackCat(又名Alphv)首次宣布瞄準漢瑞祥。該勒索軟體組織表示,已準備好與這家醫療保健巨頭就被盜數據進行談判。據稱,漢瑞祥拒絕談判,並於 11 月 22 日再次成為攻擊目標。根據漢瑞祥的聲明,先前披露的網路事件的攻擊者已聲稱對此事負責。此外,11 月的勒索軟體攻擊迫使該公司關閉其電子商務平台和部分應用程式。「某些漢瑞祥的應用程式,包括其電子商務平台,目前無法使用。該公司繼續使用其他方式接受訂單並繼續向客戶發貨,」該公司在公告中表示。

關於漢瑞祥勒遭索軟體攻擊的聲明

在向客戶保證已找出問題原因的同時,漢瑞祥的電子商務平台已為美國客戶恢復。該公司還致力於為加拿大和歐洲的用戶恢復該平台。報道指出,該公司正在透過其他管道接收訂單。Henry Schein 目前在32個國家開展業務,年收入估計為 120 億美元。

然而BlackCat表示,它已從漢瑞祥竊取了35TB 數據,其中部分數據將每天發布。這對漢瑞祥的客戶來說無疑是個壞消息。BlackCat也在聲明中指出,儘管與漢瑞祥進行了談判,「我們還沒有收到任何跡象表明他們願意優先考慮客戶、合作夥伴和員工的安全,更不用說保護自己的網路了。 」攻擊者添加了漢瑞祥內部薪資數據的部分內容,還聲稱每天將發布更多數據。

BlackCat 勒索軟體集團於 2021 年 11 月出現,據信是臭名昭著的 DarkSide/BlackMatter 勒索軟體組織的更名。2021 年5 月,該DarkSide以Colonial Pipeline為目標,導致整個美國東海岸的燃料供應中斷,後Colonial Pipeline已向操作DarkSide的駭客支付了約新台幣1.39億元的贖金,引起了全球關注。