Snatch大活躍,FBI與CISA發出聯合聲明警示各方注意!

根據美國聯邦調查局(FBI)和網路安全及基礎設施安全局(CISA)的聯合警告,一個位於俄羅斯的駭客團體正在使用勒索軟體 Snatch 針對農業、資訊技術和國防等領域的組織發動攻擊。

據報告,截至今年六月為止, FBI 和 CISA 一直在調查與這個勒索團體的駭客活動有關的案件。勒索軟體 Snatch 自2018年開始活躍,主要使用位於俄羅斯的伺服器和其他虛擬私人網路(VPN)服務來連接 C2 伺服器發動攻擊。而最近對南非國防部的攻擊幾乎引發了一場國際事件,因為這次攻擊發生在約翰尼斯堡舉行的金磚國家領袖峰會期間。該團體曝光了該國總統的個人電話號碼和電子郵件,以及該國國防系統竊取的1.6TB數據的一部分。南非政府最初否認發生入侵事件,但隨後仍承認了此事件的發生。除此之外,該組織近期也針對了大都會歌劇院以及加利福尼亞州莫德斯托市政府發動入侵攻擊,因而引起相關部門與資安專家的注意。

以下是近年來與 Snatch 相關的勒索攻擊事件:

  1. 南非國防軍(Department of Defence South Africa)攻擊:Snatch 駭客針對南非國防軍進行了攻擊,竊盜了總計 1.6TB資料,包含軍事合約、內部呼叫和個人資訊並干擾了他們的網路運作。
  • 大都會歌劇院攻擊:美國大都會歌劇院也成為了Snatch 勒索軟體攻擊的受害者,導致了其系統無法正常運作,並被揭露了許多機敏資訊。
  • 莫德斯托警察局攻擊:美國加州莫德斯托警察局在一次攻擊中受到損害,因為勒索軟體對其IT系統造成了影響,迫使他們恢復使用傳統的紙筆記錄。
  • 威斯康辛學區攻擊:Snatch 對威斯康辛州的一個學區進行了攻擊,造成了嚴重的損害和數據損失。
  • 佛羅里達醫院攻擊:該組織試圖對佛羅里達最大的一家醫院進行勒索軟體攻擊,超過一百萬名患者的個人資訊可能已被洩露。

該組織除了自己會進行入侵行動外,也被發現購買了其他勒索軟體組織偷竊的數據,藉以勒索受害者支付更多贖金。報告指出,該組織最近在Databreaches.net 發表的評論中,試圖澄清一個名為 Snatch 的 Telegram 頻道並未與該組織相關。

雖然此刻該頻道已被關閉,但這個 Telegram 頻道在今年夏天連續數週洩露了從南非國防部竊取的高度機密文件,該頻道經常吹噓出現在 Snatch 勒索軟體組織的洩漏網站上的攻擊。FBI 指出,該頻道甚至掌握了其他勒索軟體組織如 Conti 和 Nokoyawa 偷竊的資訊。

警告中指出,使用 Snatch 的威脅攻擊者一直在不斷改進他們的戰術,以適應當前的網路安全解決方案,自2019年首次對ASP.NET託管服務商SmarterASP.NET發動攻擊以來,Snatch 的變種已經相當成熟且具有相當程度的破壞性,其特點之一是能夠將受感染設備重新啟動到安全模式,以繞過防毒軟體和端點保護機制。這種獨特的攻擊策略被稱為潛行惡意軟體,是利用許多Windows電腦通常不在安全模式下運行端點保護機制的盲點來避免被檢測,先強制感染的主機重啟進入安全模式,之後才進行一般的加密與竊取等勒索攻擊行為。在許多攻擊中,Snatch 操作者瞄準了遠端桌面協定 (RDP) 中的弱點,以獲得對目標網路的管理員等級存取權並在他們使用竊取或購買的憑證來獲得初步立足點。一旦進入網路,Snatch會花長達三個月的時間在網路中搜尋目標檔案和資料夾。FBI 和 CISA 通報 Snatch 業者在受感染的網路上結合使用合法和惡意工具。其中包括後脅迫工具,例如 Metasploit 開源滲透測試工具、用於後續移動的 Cobalt Strike,以及用於建立、查詢、添加和刪除服務以及執行其他任務的實用程式,例如 sc.exe

該警告包括一份附有與駭客相關的電子郵件地址和網域列表,並呼籲受害者在受到攻擊時聯繫執法機構。

FBI 和 CISA 的聯合警告可從下方連結取得:

https://www.cisa.gov/sites/default/files/2023-09/joint-cybersecurity-advisory-stopransomware-snatch-ransomware_0.pdf

更多 Snatch 相關報導:

美國坦帕綜合醫院逃過被勒索軟體加密,120萬名病患敏感資訊卻仍遭駭客盜取

Volvo富豪汽車疑遭加密,Snatch勒索軟體再度回歸

Snatch 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

0965cb8ee38adedd9ba06bdad9220a35890c2df0e4c78d0559cd6da653bf740f

1fbdb97893d09d59575c3ef95df3c929fe6b6ddf1b273283e4efadf94cdc802d

5950b4e27554585123d7fca44e83169375c6001201e3bf26e57d079437e70bcd

7018240d67fd11847c7f9737eaaae45794b37a5c27ffd02beaacaf6ae13352b3

28e82f28d0b9eb6a53d22983e21a9505ada925ebb61382fabebd76b8c4acff7c

fc31043b5f079ce88385883668eeebba76a62f77954a960fb03bf46f47dbb066

美國坦帕綜合醫院逃過被勒索軟體加密,120萬名病患敏感資訊卻仍遭駭客盜取

7 月 20 日,美國佛羅里達州最大的醫院之一坦帕綜合醫院 (Tampa General Hospital-TGH)表示,駭客在持續18天的資安事件中獲取了 120 萬名病患的個人健康資料(Personal Health Information-PHI), 據 TGH 代表稱,醫院於 5 月 31 日在電腦系統檢測到的異常活動,從而揭露了資料被盜的情況。醫院立即將受感染的系統斷網,以防止進一步的未經授權的存取,並聘請了第三方數位鑑識公司來調查事件以確認攻擊的性質和程度。調查顯示,未經授權的第三方在 2023 年 5 月 12 日至 5 月 30 日之間連續三周存取TGH的網路,並在此期間竊取了包含患者資料的數據。

涉及什麼類型的數據?

駭客獲得了以下數據的存取權限:

電話號碼

地址

出生日期

社會安全號碼

病歷號碼

患者帳號

健康保險資料

TGH 用於其業務運營的服務日期和/或有限的治療資料

TGH表示,這是一次未遂的勒索軟體攻擊,雖然發生了數據盜竊,但其安全系統阻止了檔案加密。現在已經實施了額外的技術安全措施來強化系統並防止進一步的數據洩露,並且網絡監控也得到了增強,以確保快速檢測到任何未來的安全漏洞。醫院向聯邦調查局(FBI)報告了這一事件,並提供了有關駭客的資訊。聲明稱,駭客沒有存取醫院的電子病歷系統。根據《HIPAA Journal》的報導TGH表示,將聯繫受影響的人,並將為那些被盜社會安全號碼的人士提供免費的信用監控服務和身份盜竊預防服務。據資安全專家 Dominic Alvieri,Snatch勒索軟體組織已在7 月 19 日將這家醫院添加到了其揭秘網站中,該醫院告訴當地新聞媒體 Fox13,TGH拒絕支付贖金,但沒有透露贖金的金額,也沒有說明誰是攻擊的幕後黑手。

自 2019 年以來,Snatch勒索軟體組織與了多起備受矚目的攻擊事件,其中包括大都會歌劇院威斯康辛的一個學區和瑞典汽車製造商Volvo等。

Snatch勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA256

eebc57e9e683a3c5391692c1c3afb37f3cb539647f02ddd09720979426790f56

78816ea825209162f0e8a1aae007691f9ce39f1f2c37d930afaf5ac3af78e852

80cc8e51b3b357cfc7115e114cecabc5442c12c143a7a18ab464814de7a66ab4

ebcded04429c4178d450a28e5e190d6d5e1035abcd0b2305eab9d29ba9c0915a

fe8ba1eaf69b1eba578784d5ab77e54caae9d90c2fb95ad2baaaef6b69a2d6cb

28125dae3ab7b11bd6b0cbf318fd85ec51e75bca5be7efb997d5b950094cd184

Volvo富豪汽車疑遭加密,Snatch勒索軟體再度回歸

11月30日,在勒索軟體Snatch的揭秘網站上,發布了富豪汽車Volvo Car頁面,表示Snatch已經攻擊了上市汽車公司Volvo,但Snatch沒有公開透露有關盜來數據容量的大小,目前也不清楚勒索的金額。

據了解,Sophos研究團隊於2018年夏天第一次發現Snatch勒索軟體,Snatch於2019年4 月開始活躍,大量發動攻擊,隨後於2020 年突然消失,但現在又再度回歸。Snatch是一種能讓Windows電腦重新開機進入安全模式再對檔案加密,以躲避防毒軟體的偵測的勒索軟體,Snatch以鎖定特定目標(大型企業或政府組織)進行攻擊,透過暴力破解,利用微軟遠端桌面連線功能(RDP)、VNC遠端連線軟體、Teamviewer、Webshell 和 SQL Injection 等工具的漏洞或公開的服務入侵到企業內部網路,之後會收集該企業相關的重要敏感資訊,上傳到攻擊者控制的C2伺服器。

從Snatch揭秘網站上刊登受害公司的記錄,可見自11月25日以來已有12名受害者,除了Volvo Cars外,還有加拿大渦輪鼓風機製造商APG-Neuros、奧地利鹽業公司 Salinen Austria、美國醫療保險CareFirst CHPDC等公司也都被Snatch入侵。

根據瑞士網站inside-it的報導,在流出的螢幕截圖中,可看到富豪汽車虛擬的3D 建模檔案,然而富豪汽車沒有證實,或否認這次攻擊。Volvo Car在一份簡短的聲明中寫道:“富豪汽車不對有關可能的網路安全攻擊的猜測發表評論,但會認真對待對網路安全和財產盜竊的所有潛在威脅。”

過去曾遭勒索攻擊的汽車業者有:

2021年2月,起亞汽車(Kia)美國公司遭DoppelPaymer加密,被勒索2千萬美元

2020年6月,本田汽車網路疑遭勒索軟體Snake攻擊,部份產線停工

2019年2月,豐田汽車澳洲公司確認網路攻擊未遂事件

2017年2月,汽車製造商日產Nissan稱其英國工廠遭勒索軟體攻擊

Snatch勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA 1:

c24aee8fa0a81a82fe73bf60e0282b1038d6ea80

d5a0c796032eda2fe20d1f39bae3fbc4e6407e8c

18f963dbee830e64828991d26a06d058326c1ddb

5b86cf095fe515b590d18b2e976d9e544c43f6ca

b93d633d379052f0a15b0f9c7094829461a86dbb

0882f2e72f1ca4410fe8ae0fa1138800c3d1561d

be4449f1f947c6bd16f668da523f20172ebfc80a

MD5:

6ed4f5f04d62b18d96b26d6db7c18840

1f7b17cacb0263b84cf3e9d4a5429ef9

1422dae0330c713935d50773680fcb39

6d9d31414ee2c175255b092440377a88

2bbff2111232d73a93cd435300d0a07e

68036895fd169db954b0c048413c6721