標籤: Ransomware

駭客組織 Jumpy Pisces 進行攻擊活動的時間軸

網路安全公司 Palo Alto Networks 的威脅情報小組 Unit 42 針對最近的一起事件回應案例揭露出令人憂慮的發展——北韓政府支持的駭客組織與一個以金錢為導向的勒索軟體集團之間的合作。

Jumpy Pisces 駭客組織，也稱為 Onyx Sleet 和 Andariel（亦稱為「和平守護者」APT 組織，曾是著名的HBO資料外洩事件的幕後黑手），歷來涉足於網路間諜活動、金融犯罪，以及部署客製化的勒索軟體像是 Maui。Unit 42 的調查揭示了 Jumpy Pisces 在戰術上的轉變，顯現出他們可能愈來愈頻繁地參與勒索軟體攻擊。

2022年，卡巴斯基（Kaspersky）發現 Jumpy Pisces 在針對日本、俄羅斯、越南以及印度的攻擊中部署 Maui 勒索軟體，隨後美國政府也證實了此事。

此次事件涉及的 Play 勒索軟體，是一種在2022年中期首次被發現的網路威脅工具。雖然 Play 勒索軟體背後的組織 Fiddling Scorpius 被認為採用勒索軟體即服務（RaaS）模式運作，然而他們在洩漏網站上否認了這一點。

Unit 42 的調查揭示了一連串事件，最終都導向到有關 Play 勒索軟體的部署。2024年5月，Jumpy Pisces 通過遭入侵的使用者帳戶獲取初步存取權。到了2024年 5月 至 9月期間，他們運用開源的 Sliver (一種通用的跨平台植入框架) 和客製化的 DTrack 惡意軟體進行橫向移動，並遊走各個網路，維持持續性的活動。

2024年9月初，一個未被識別的駭客通過同一個被入侵的帳戶進入了目標網路，似乎是為了 Jumpy Pisces 發動攻擊前的準備工作。該網路攻擊者執行了進行勒索軟體攻擊之前的前期操作，其中包括了憑證收取和 EDR 感應器移除，然後於當月稍晚即進行 Play 勒索軟體的部署。

此次攻擊中使用的客製化版本 Sliver C2 框架讓他們能夠維持持續性的指令與控制（C2）通訊，並允許遠端指令的執行。DTrack 則是客製化的惡意軟體，作為資訊竊取的工具，從受影響系統中蒐集機敏資訊，並壓縮成偽裝的 GIF 檔案以逃避偵測。

北韓駭客與 Play 勒索軟體在全球攻擊中的合作

根據Palo Alto Networks Unit 42 的報告，攻擊者使用 PowerShell 腳本來執行指令、傳輸檔案並與系統互動，同時 Mimikatz (windows系統中的安全測試工具) 則被用來從記憶體中提取明文密碼 (plaintext password)，以進一步取得額外帳戶的存取權。

研究人員還觀察到 PsExec 的使用，一種允許於遠端系統上執行程序的指令列工具 (command-line tool)，支援橫向移動及權限提升。此外，攻擊者也使用了 TokenPlayer，一種用來操控與利用 Windows 存取權杖 (access token) 的工具，透過竊取權杖來冒充高權限使用者。

目前尚不確定 Jumpy Pisces 的角色是作為 Play 勒索軟體的正式附屬成員，或只是作為初始存取仲介者（Initial Access Broker, IAB）來出售網路存取權。不過，此類型的合作模式，是首次有文件記錄下的例子，令人擔憂北韓駭客團體可能更頻繁地參與勒索軟體活動，對全球的企業和組織構成更大的威脅。

無論 Jumpy Pisces 是附屬成員還是初始存取仲介（滲透測試者），他們與勒索軟體集團在幕後協同合作，使北韓的威脅攻擊者得以規避國際的制裁。

資安意識培訓公司 KnowBe4 的資安意識提倡人 Erich Kron 指出，北韓近期積極參與勒索軟體活動顯示出因財務動機而進行的戰略合作。儘管北韓網路攻擊者在網路存取方面的技術嫻熟，然而他們對勒索軟體的運作模式較不熟悉，因此與成熟組織的合作會更加有利。Kron 強調說，考量到勒索軟體對社交工程的高度依賴性，企業組織應更加專注於防範網路釣魚郵件的攻擊。

Jumpy Pisces 駭客組織及 Play 勒索軟體相關的部分的入侵指標（IOCs）:

RansomHub 勒索軟體集團日前駭入台灣某製造業大廠，總計 150 GB 資料遭竊

竣盟科技 於今年9月曾報導 RansomHub 勒索軟體集團攻擊台灣某大日系電機廠商，並竊取大量機敏資料。經沉寂一段時日之後，該集團又對台灣廠商出手。

近日，RansomHub 駭客組織聲稱成功入侵台灣某上市被動元件大廠，這是一家年營收接近 30 億美元的製造業巨擘。

據該組織宣稱，外洩資料量達 150 GB，其中內容涵蓋技術設計、相關協定及證書等機密資訊。而支付贖金的截止日期為 2024 年 10 月 31 日。

根據RansomHub組織暗網上發布之資訊，受駭的製造業大廠有完整的產品線，及遍布全球的運輸平台，共計有超過 30 個生產據點，提供多樣性的電子產品類型及服務。

該組織於聲明中威脅道，給受駭公司一週時間與他們進行談判，否則就會把資料公布於他們的 Blog。同時他們也釋出多張圖片，包括電子產品的電路板照片等機密資訊。

該公司於 10 月 23 日發出重大資訊揭露，聲明中表明公司部分資訊系統遭受駭客網路攻擊，並說明公司於遭受網路攻擊時，立即啟動相關防禦機制，避免影響安全。

至於預計可能的損失或影響，公司目前評估並沒有個資或內部文件資料外洩之虞等情事，對公司營運尚無重大影響。而關於改善情形及未來因應措施，公司表示會持續提升網路與資訊基礎架構之安全管控，持續密切監控，以確保資訊安全。

被動元件產業是台灣電子製造業的關鍵部分，供應全球市場各種電子零組件。這些元件被廣泛應用於智慧型手機、電腦、汽車電子等產品中。因此，這類公司往往成為駭客組織的目標，因為它們擁有龐大的技術資料和商業機密。

勒索軟體攻擊的特點是加密受害者的資料並索取贖金，以換取資料解密鑰匙。這不僅可能導致企業的日常運營中斷，還可能讓公司的競爭對手或不法分子獲得關鍵技術資料，進一步威脅其市場競爭力。此外，對於一家上市公司而言，這類安全事件如果處理不當，可能會導致股價下跌及品牌信譽受損。

台灣的電子製造業高度依賴全球供應鏈，這意味著這類企業持續面臨來自世界各地的網絡威脅。近年來，隨著台灣企業在全球市場中的地位上升，針對台灣高科技產業的駭客攻擊也日益增多。台灣的網路安全專家已多次警告，企業需要投資更多的資源以強化其資訊安全防護系統。

這次攻擊再次提醒了企業加強網絡安全的重要性。專家建議，企業應該定期進行網絡安全風險評估，並且建立更完善的數據備份與還原計畫，以應對未來可能發生的攻擊事件。只有通過強化防護和快速應對，才能在這個充滿網絡威脅的時代中維持企業競爭力。

RansomHub 勒索軟體相關的部分的入侵指標（IOCs）:

勒索軟體組織 Orca 近日於暗網上聲稱對一家台灣製造業廠商發動攻擊

竣盟科技 近日於勒索軟體揭秘網站發現，有一新興勒索軟體 Orca (虎鯨) 浮現檯面，並對台灣某金屬製造廠商發動網路攻擊。Orca是一個最新出現的勒索軟體，而台灣企業隨即成為其攻擊目標，加上近來陸續有駭客組織對台灣機構或企業發動攻擊的事件，這顯示出台灣企業普遍存在資安防護不足的情況，使其儼然成為駭客集團發動攻擊的容易目標。駭客聲稱，該受害公司被駭資料共計有18 GB，其中包括5張圖片及45,319個檔案。

據了解，Orca 勒索軟體組織的主要動機是財務因素，他們的信念是盡量避免對公司企業造成不必要的傷害。該組織於聲明中表示，「我們在追求財務收穫的同時也考量到道德的重要性，並遵守針對政府機構、醫院或非營利組織的嚴格政策，因為這些領域對社會至關重要。」

「我們的行動模式是以促進對話及尋求解決方案而非製造混亂和破壞。我們相信，創造一個企業可以參與進來，並且能有建設性地解決問題的環境，這樣可以為各方帶來更好的結果。這種模式使我們能夠以強調溝通協調及共同理解的方式來與企業組織互動，以促進經濟活動，同時盡量減少對社會基本功能運作的干擾。」

「在追求這些目標的過程中，我們致力於維持專業水準，優先考慮溝通和針對性互動的透明度，進而加強商業活動和網路安全可以共存的架構，而不會導致不必要的衝突或傷害。」

相較於之前先後攻擊台灣數家企業的勒索軟體組織RansomHub，這次發動攻擊的Orca 勒索軟體組織，知名度鮮為人知，相關細節資訊包括使用的軟體工具及攻擊手法等亦未被揭露，但仍不可掉以輕心，駭客集團或是勒索軟體組織的行動通常具有計畫性及持續性，需持續觀察並謹慎防備。

週四上午 竣盟科技 嘗試進入該受害企業的網站，但是該網站似乎因受到攻擊而暫時癱瘓，只出現了「無法連上這個網站」的訊息視窗。

針對這次事件的後續狀況以及進一步細節，竣盟科技也將密切關注其發展並做更詳實的資安訊息分享。

企業面對勒索軟體組織的網路攻擊，竣盟科技建議採取多層次的防備措施來減少風險和損失。以下是一些關鍵的防備步驟：

1. 資料備份與復原計畫：定期備份重要資料於與主系統隔離的安全位置。
2. 更新軟體與弱點掃描：定期更新所有系統的操作系統、應用程式和防毒軟體；另外應定期檢查系統中可能存在的安全漏洞。
3. 多因子身份驗證 (MFA)：限制未經授權的使用者進入關鍵系統。
4. 網路分段 (Network Segmentation)：通過將網路進行分段，限制勒索軟體在被攻擊系統中的橫向移動。
5. 行為監控與威脅偵測：使用端點偵測與回應 (EDR) 工具，以及威脅情報分享。
6. 與外部專業團隊合作：與專業的資安公司合作，進行資訊安全評估、滲透測試等服務，以提升企業的資安防禦能力。

Orca 勒索軟體相關的部分的入侵指標（IOCs）:

RansomHub勒索軟體組織宣稱竊取總計500 GB的資料，其中包括產品設計圖

繼 竣盟科技 日前發現RansomHub勒索軟體集團攻擊台灣某大出版廠商之後，台灣老牌日系電機廠商又驚傳成為RansomHub的攻擊目標。

據勒索軟體集團暗網所洩資料，其中包含該台灣電機廠商的10張產品設計圖及廠房圖紙等。相關資料亦透露這次駭客行動所竊之資料達500 GB，另外勒索軟體集團指定的贖金期限為9月9日。

RansomHub 是今年初才興起的勒索軟體集團，然而崛起之勢非常驚人，台灣陸續受到波及的企業就有三家，前後包括知名上市公司藍天電腦、某大教科書/出版廠商，以及這次的日系電機廠商，情勢不容小覷。

自2024 年2 月開始活動以來，RansomHub 已加密並竊取了至少210 個受害企業組織的資料，這些受害單位包括用水和汙水處理、資訊產業、政府單位、醫療保健和公共衛生機構、緊急服務、糧食和農業、金融服務機構、商業設施、製造業、運輸和通訊等重要基礎設施領域。

根據美國網路安全暨基礎設施安全局CISA 於8月29日發布的資料，RansomHub 隸屬團體通常會使用網路釣魚電子郵件 [ T1566 ]、利用已知漏洞 [ T1190 ] 和密碼噴灑攻擊 (Password spraying) [ T1110.003 ]等方法來侵害對向網際網路系統 (internet facing systems) 和使用者端點。而密碼噴灑攻擊的目的是侵入鎖定之帳戶，然後進一步造成資料外洩。

也發現RansomHub集團使用AngryIPScanner、Nmap等工具進行網路掃描，還有一種利用所謂living off the land (利用受害電腦裡現成的工具，來執行攻擊行動的有關任務)攻擊手法，是透過PowerShell來執行網路掃描[ T1018 ][ T1046 ][ T1059.001 ]。

自今年年初以來，RansomHub 聲稱已成功駭入包括美國非營利信用合作社Patelco、連鎖藥局Rite Aid、佳士得拍賣行、美國電信商Frontier Communications和石油產業巨擘哈里伯頓等公司。Frontier Communications 隨後也發出通知警告共計超過 75 萬名客戶，他們的個人資訊因這次事件而遭到外洩。

FBI、CISA、跨州資訊共享和分析中心 (MS-ISAC) 以及衛生及公共服務部 (HHS) 發布的聯合公告也證實，網路攻擊者是以雙重勒索的方式展開攻擊行動。

這些聯邦政府機構建議，企業組織應該優先致力於修補已經被利用的漏洞，並且針對網路郵件、虛擬私人網路 (VPN) 和連結到重要系統的帳戶都要使用高強度密碼和多因子驗證 (MFA)。同時也建議保持軟體更新並執行弱點掃描，並將其作為資訊安全規範的標準程序。

聯邦機構補充道：「不鼓勵受害企業支付贖金，因為支付贖金並不能保證受害者的檔案資料會完全復原。」

「除此之外，支付贖金還可能促使駭客集團更大膽地去對其他企業組織發動攻擊，同時也間接鼓勵其他網路犯罪者去參與勒索軟體的散布或是資助這類非法活動。」

RansomHub勒索軟體相關的部分的入侵指標（IOCs）:

勒索軟體RansomHub日前攻擊台灣某大教科書/出版廠商

竣盟科技近日於勒索軟體RansomHub的揭秘網站發現，台灣某大教科書/出版廠商成為勒索軟體RansomHub 的攻擊目標，被駭資料共計425GB。

這並不是RansomHub第一次對台灣企業廠商發動攻擊。2024年6月，臺灣上市公司藍天電腦傳出遭到勒索軟體攻擊的消息，當時勒索軟體集團RansomHub聲稱他們竊取了藍天電腦200 GB的資料，並公布屬於該公司的10份文件，此外攻擊者表示他們是透過網路釣魚的手法侵入系統。

RansomHub 是一個相對較新的勒索軟體集團，被認為是 Knight 勒索軟體的繼任者。該組織在 2024 年 2 月浮出檯面後，迅速在網路威脅領域崛起，並引發相當大的關注。

一般相信，RansomHub 發源於俄羅斯，採用勒索軟體即服務（RaaS）的模式進行運作，這種商業模式讓合作夥伴可獲得高達 90% 的贖金收入，而剩下的 10% 則歸該集團所有。RansomHub 的攻擊目標遍及全球，包括美國、巴西、印尼和越南等國，且攻擊模式靈活多變，非常難以預測。

RansomHub 的勒索軟體以 Golang 語言編寫，這樣的選擇反映出勒索軟體開發者對該語言的偏好。Golang 的使用可能預示著未來的勒索軟體攻擊將更加地複雜且難以偵測，對現有的防護機制來說是更嚴峻的挑戰。

英國資安軟體和硬體公司Sophos早前揭露勒索軟體集團RansomHub在今年5月發起的攻擊行動，駭客先利用名為EDRKillShifter的惡意程式，企圖停用受害電腦上的Sophos端點防護程式；隨後，這個工具會利用存在漏洞的舊版驅動程式，進行BYOVD（自帶驅動程式）攻擊，試圖癱瘓端點防護系統，但此舉動也引起了注意。

EDRKillShifter 是一種「自帶驅動程式攻擊」(BYOVD) 工具，使用包含密碼字串的指令列來執行；最終的目的是利用驅動程式之中一個比較容易攻擊的合法驅動程式，以獲得權限來解除 EDR 的防護。

BYOVD的技術原理，使得攻擊者可以載入存在漏洞的合法驅動程式，以便他們可以覆寫核心附近的程式碼來執行特許權限功能。危險的地方在於核心驅動程式並不是惡意的，造成檢測上更加地困難。一旦載入了驅動程式，就可以更深入地探入系統，並且能夠擁有更大的權限來操控系統。

如何防護企業組織的資訊安全

加強監控端點安全，強化企業網路衛生 (cyber hygiene) 並維持系統最新的更新狀態。EDRKillShifter 工具的使用現況確實令人擔憂，從他們對 RansomHub 勒索軟體的使用上來看，顯示出他們的經驗豐富而且非常堅決。他們現階段正利用這種專門用於癱瘓端點偵測和回應 (EDR) 軟體的新工具，這表示他們的攻擊行動是非常地精細複雜。

RansomHub勒索軟體相關的部分的入侵指標（IOCs）:

 Toyota豐田汽車遭到勒索軟體集團駭入，共計240GB資料外洩

日前Toyota豐田汽車證實，他們的客戶資料遭到洩露。一名網路攻擊者在駭客論壇上洩露了他們從豐田的IT系統中竊取的 240GB 檔案資料。

針對這起事件，豐田回應道：「我們已經了解事件狀況。此次事件的範圍是局部性的，並沒有擴及整個IT系統。」

豐田補充說，「他們正在聯繫受到影響的客戶及人員，並在需要時提供協助。」目前尚未提供有關何時發現被入侵、攻擊者如何獲得存取權限以及有多少人的資料被暴露等資訊。

攻擊參與者 ZeroSevenGroup 聲稱已入侵豐田美國分公司，並竊取了 240GB 的檔案資料，內容涵蓋包括聯絡人、財務、客戶資料、計畫方案、員工資料、照片、資料庫、網路基礎設施、電子郵件和大量其他資料。

他們聲稱已經使用開源 ADRecon 工具收集了網路基礎設施資訊，包含憑證，這類工具可以幫助於從 Active Directory 環境中提取大量資訊。

豐田並未透露資料遭洩的確切日期，根據報導發現這些檔案被竊最早可以追溯到 2022 年 12 月 25 日。在這個時間點，攻擊者侵入備分伺服器，進而取得儲存於此的資料。

2023 年 12 月，豐田金融服務公司 (Toyota Financial Services) 通知客戶，公司遭遇了資料外事件，敏感性的個人資料及財務資料因勒索軟體攻擊而洩露，這起攻擊事件的影響範圍波及豐田的歐洲和非洲分公司。

2023 年 11 月 17 日，Medusa 勒索軟體集團 聲稱 參與了這起攻擊，並且威脅豐田如果不支付贖金，就會洩露被駭的資料。

CannonDesign資料外洩

Cannon Corporation (佳能集團) 旗下CannonDesign 正向 13,000 多名客戶發送資料外洩通知，告知客戶在 2023 年初的一次攻擊事件中駭客入侵了公司網路並竊取資料。

CannonDesign 是一家總部位於美國紐約州，屢獲殊榮的建築、工程和顧問公司，在學術性建築、醫院和體育場館等項目上的卓越表現而受到業界認可。

CannonDesign 開始向受影響的個人發送通知信，信中通報了 2023 年 1 月 19 日至 25 日這段期間發生的資安事件，該事件涉及未經授權的網路存取和資料外洩。

根據調查顯示，這場攻擊背後的執行者可能取得了姓名、地址、社會安全號碼 (SSNs) 和駕照號碼等資訊。

2023 年 2 月 2 日，Avos Locker 勒索軟體集團宣稱他們入侵了 CannonDesign 的系統，並且持有 5.7 TB 的被駭資料，其中包括公司和客戶相關檔案資料。

在勒索軟體集團索要贖金的計畫可能失敗後，他們將盜取資料轉到 Dunghill Leaks網站，該網站於 2023 年 9 月 26 日公佈了從 CannonDesign 竊取的 2TB 資料。這些資料包括資料庫轉儲 (database dumps)、專案圖表、聘僱文件、客戶詳細資訊、行銷資料、IT和基礎設施詳細資訊以及品質保證報告等。

Dunghill Leaks是 Dark Angels勒索軟體組織於 2023 年 4 月推出的資料外洩網站，用於迫使受害者支付勒索軟體集團要求的贖金。

攻擊豐田的勒索軟體Medusa的部分的入侵指標（IOCs）:

Kootenai Health醫院受到勒索軟體集團ThreeAM的攻擊

 Photo Credit: GBHackers庫特內醫院（Kootenai Health）近日披露了一起資料外洩事件，超過464,088名病患的個資受到影響，這些資料是被名為ThreeAM（3AM）的勒索軟體集團所洩露。Kootenai Health 是一家位於愛達荷州科達倫 (Coeur d’Alene) 的醫療機構。它是一個區域醫療中心，提供全方位的醫療服務，包括緊急護理、外科手術、癌症醫療和專門治療。 Kootenai Health 以致力於綜合性醫療而聞名，並且提供住院病床和門診服務。

根據庫特內醫院提交給緬因州總檢察長辦公室的資料外洩通知信，2024年3月2日，公司發現部分IT系統出現異常，隨即展開調查，並尋求業界頂尖的資安專家協同合作。

調查顯示，2024年2月22日左右，網路攻擊者入侵了庫特內醫院的網路，竊取了病患的個人資訊，包括姓名、出生日期、社會安全號碼、駕照或政府發行的身份證號碼、病歷號碼、治療資訊以及診斷資訊、用藥資訊及健康保險資訊等。

庫特內醫院表示，目前尚不知道有任何遭竊資訊被盜用的情況。他們盡快通知受影響的病患，並附上受影響個人如何註冊 12 至 24 個月個資保護服務的說明，依據受害者遭到洩露的是哪種資料，會予以相應的個資保護服務。

庫特內醫院表示，發現異常活動後，立刻採取相應措施以確保數位環境的安全。經過全面性的查驗，確認受影響的資料後，於2024年8月1日，庫特內醫院對受影響資料的後續處置措施也告一段落。

應對這次的事件，庫特內醫院宣布實施額外的安全措施，並已通知當地執法單位，包括聯邦調查局（FBI）。另外庫特內醫院還透過IDX公司 (入侵回應服務廠商) 提供免費的信用監控和個資竊盜保護服務。

凌晨3點 勒索軟體集團洩露資料

3AM勒索軟體集團已聲明他們確實參與了這次攻擊，並在他們的暗網入口網頁上洩露了被駭資料，這也間接表明了受害方尚未支付贖金。

遭竊資料包含一個 22GB 的檔案，這個檔案免費提供使用，任何其他網路犯罪分子都可以任意下載該檔案資料並用於其他進一步的攻擊行動。

網路安全技術廠商賽門鐵克 (Symantec) 的威脅獵捕團隊表示，3AM勒索軟體系列是在2023年9月首次被發現。這個軟體是用Rust程式語言編寫，在開始加密程序之前，它會嘗試中斷多種服務，並在加密完成後試圖刪除磁碟區陰影副本（Volume Shadow copies）。

被加密的檔案其檔名末端會被添加“.threeamtime”，此外這個勒索軟體還支援多種指令來阻止應用程式進行備份及資訊安全軟體的運作。另一個特性是此軟體僅對符合預設條件的檔案進行加密。

資安培訓認證公司Intrinsec分析師於一月份的報告中談到，他們發現3AM和Conti，the Royal等勒索軟體集團之間有著顯著的關聯性，表明這三個集團之間應該存在某種結盟關係。

ThreeAM勒索軟體相關的部分的入侵指標（IOCs）: