Twilio遭駭客入侵 3,300萬個電話號碼遭外洩 用戶需警惕網路釣魚攻擊

Photo Credit: Twilio

     美國雲端通訊巨頭Twilio週三向證實遭駭,根據TechCrunch的報導,名為ShinyHunters的駭客在知名駭客論壇上的貼文表示,他們入侵了Twilio,能夠識別與Authy (Twilio旗下流行的雙重認證應用程式) 帳戶相關的數據,並取得3,300萬名Authy用戶的電話號碼。Twilio強調Authy帳戶並未受到入侵,然而駭客可能嘗試使用與Authy帳戶關聯的電話號碼進行網路釣魚和簡訊攻擊。                              

     2022年,Twilio遭受了更大規模的資料洩漏,當時一群駭客存取了100多家公司的客戶資料。隨後,駭客發起了大規模的網路釣魚活動,導致至少130家公司的約10,000份員工憑證被盜。Twilio表示,作為當時入侵的一部分,駭客成功瞄準了93名Authy用戶,並能夠在這些受害者的Authy帳戶上註冊其他設備,使他們能夠有效竊取真正的雙因素代碼。

     網路安全專家Rachel Tobac向TechCrunch表示 : 「如果攻擊者可以列舉用戶的電話號碼列表,那麼這些攻擊者就可以對這些用戶冒充Authy / Twilio ,從而增加對該電話號碼進行網路釣魚攻擊的可信度。」

     Twilio發言人Kari Ramirez 告訴TechCrunch,該公司「已偵測到,由於端點未經身份認證,駭客能夠識別與Authy帳戶相關的數據,包括電話號碼。我們已採取措施保護此端點,不再允許未經身份驗證的請求。」

   7 月 1 日,Twilio也在其官方網站上發布了警告,其中包括一封電子郵件中相同的聲明:「我們沒有看到任何證據表明駭客獲得了Twilio系統或其他敏感資料的存取權限。作為預防措施,我們要求所有Authy用戶(在您運行的任何裝置上)更新到最新的Android和iOS應用程式以獲得最新的安全更新,我們鼓勵所有Authy用戶保持警惕,並對接收到的簡訊提高警覺。」

竣盟科技提醒Authy用戶,多種最佳實踐可以幫助降低因資料外洩而遭受網路釣魚攻擊的風險:

  1. 定期更新軟體:定期更新應用程式可確保修補任何已知漏洞,從而更好地防止潛在的漏洞。
  2. 對未經請求的訊息持懷疑態度:使用者應警惕未經請求的訊息,尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
  3. 驗證真實性:如果訊息聲稱來自 Authy 或 Twilio 等合法服務,使用者應在採取任何操作之前透過官方管道驗證其真實性。
  4. 啟用額外的安全措施:在可能的情況下,啟用額外的安全功能(例如生物辨識身分驗證或基於硬體的雙重認證)可以提供額外的保護層。
  5. 自學網路釣魚策略:了解常見的網路釣魚策略以及如何識別它們可以顯著降低陷入此類計劃的可能性。

中國APT駭客組織Velvet Ant利用Cisco Nexus設備的零時差漏洞,傳播惡意軟體 !

Photo Credit: TheHackerNews

根據國外資安媒體TheHackerNews的報道,名為Velvet Ant的中國APT駭客組織利用Cisco交換機中NX-OS軟體的零時差漏洞,編號為CVS-2024-20399 (CVSS評分: 6.0) 的命令注入漏洞,允許經過驗證的攻擊者以root身份,在受影響設備的底層作業系統上執行任意命令,傳播惡意軟體。

     Velvet Ant於上個月首次被以色列網路安全公司紀錄在案,該事件涉及針對東亞一個未命名組織的網路攻擊,持續約三年,透過使用過時的F5 BIG-IP設備建立持久性,秘密竊取客戶和資料。

     網路安全公司Sygnia表示「透過利用此漏洞,Velvet Ant 成功執行了一種以前未知的自訂惡意軟體,該惡意軟體允許威脅組織遠端連接到受感染的Cisco Nexus、上傳其他文件並在設備上執行代碼。網路設備,特別是交換機,通常不受監控,它們的日誌也經常不會轉發到集中式日誌系統。」”缺乏監控給識別和調查惡意活動帶來了重大挑戰。”

     Cisco表示,該問題源於對傳遞給特定配置CLI命令的參數驗證不足,攻擊者可以透過精心設計的輸入作為受影響的配置CLI命令的參數來利用這些參數。更重要的是,它使具有管理員權限的使用者能夠在不觸發系統日誌訊息的情況下執行命令,從而可以隱藏被駭設備上shell命令的執行情況。

     以下為受到CVE-2024-20399影響的Cisco交換機設備 :

  • MDS 9000 系列多層交換機
  • Nexus 3000 系列交換機
  • Nexus 5000 平台交換機
  • Nexus 5600 平台交換機
  • Nexus 6000 系列交換機
  • Nexus 7000 系列交換機
  • 獨立NX-OS模式的Nexus 9000系列交換機

竣盟科技的LogMaster巨量日誌搜尋管理系統,透過設定關鍵字可主動查覺異常日誌紀錄,定期的智能監控日誌內容與收容狀況,主動分析告警讓資安管理人員找出異常行為,從而降低企業資安風險及減輕監控負擔。

中國APT駭客ChamelGang利用勒索軟體 針對全球政府機關基礎設施 進行大規模勒索 !

Photo Credit: SHUTTERSTOCK

      據信中國國家級駭客越來越多地部署勒索軟體,以造成干擾並為其間諜活動提供掩護,美國網路安全公司SentineOne分享的一份報告中顯示,ChamelGang(又名CamoFei)在2022年使用CatB勒索軟體變種針對印度主要醫療機構 (All India Institute of Medical Sciences (AIIMS)和巴西總統辦公室發起的攻擊,以及在2023年針對東亞政府實體和印度次大陸航空組織的攻擊。研究人員表示,ChamelGang 組織反覆部署勒索軟體和加密器,「目的是獲取經濟利益、破壞、分散注意力、入侵歸屬或刪除證據」。 據稱,ChamelGang 先前曾針對多種組織發動攻擊,包括東亞政府、南亞航空組織以及美國、台灣和日本等其他國家的政府和私人組織。

      由於程式碼重疊,研究人員將CatB勒索軟體和BeaconLoader與ChamelGang關聯起來。進一步調查顯示,ChamelGang經常將BeaconLoader偽裝成Windows服務或軟體元件,例如TSVIPSrv.dll和TPWinPrn.dll並可能透過它部署Cobalt Strike來執行偵察命令、其他工具以及竊取NTDS.dit Active Directory等文件資料庫,儲存關鍵資訊。

      ChamelGang的武器庫中擁有許多工具,包括BeaconLoader、Cobalt Strike、AukDoor和DoorMe等後門,以及名為CatB的勒索軟體變種。根據其共通性,該勒索軟體已被確認用於針對巴西與印度的攻擊。

      研究人員還發現ChamelGang使用Jetico BestCrypt 和Microsoft BitLocker來加密端點並索取贖金的入侵,在2021年初至2023年中期影響了北美、南美和歐洲的各個垂直產業。據估計多達37個組織,主要是美國製造業,受到的影響最大。

      使用BestCrypt和BitLocker的入侵以及類似於LIFARS案例中的勒索紀錄,已歸因於名為TimisoaraHackerTeam和DeepBlueMagic的勒索軟體組織。這些組織與針對以色列HillelYaffe 醫療中心等醫療機構的攻擊有關,以色列當局表示懷疑是中國勒索軟體組織為幕後黑手。

      根據俄羅斯資安研究公司Positive Technologies於2021年首次紀錄,ChamelGang被評估為一個與中國有聯繫的組織,其運作動機多種多樣,包括情報收集、資料竊取、經濟利益、拒絕服務(DoS)攻擊和資訊操作。

      SentineOne的報告強調ChamelGang是一個持續存在的全球網路間諜組織,其目標是受戰略利益、區域競爭、地緣政治緊張局勢和技術競爭力驅動的印度和東亞等關鍵基礎設施部門(包含醫療保健、航空和製造業)。

      SentineOne進一步表示,不能排除這些活動是更廣泛的網路犯罪計畫的一部分的可能性,特別是考慮到國家級駭客也不時參與出於經濟動機的攻擊。

      安全研究人員Aleksander Milenkoski告訴  : 「我們觀察到的活動與過去的入侵重疊,涉及與疑似中國和北韓APT駭客組織相關的工作。」他表示,可見性限制可能導致無法檢測到惡意工具本身。偽裝成勒索軟體活動的網路間諜活動為敵對國家提供了一個機會,透過將這些行為歸咎於獨立的網路行為者而不是國家支持的駭客組織,從而聲稱可以進行合理的推諉。

      「網路間諜駭客組織使用勒索軟體模糊了網路犯罪和網路間諜活動之間的界線,從戰略和營運角度為對手提供了優勢。」

中國APT駭客ChamelGang相關的部分的入侵指標(IOCs):

5a6baf931adad480b920394568c52a9d              

7b5bbc29e6addfa1fdaea839e500f995                          

88ef5955f8fa58e141da85580006b284                          

8dfeaaf7351f695024ed3604a4985e98                

b9337830c32f71a6ecccec60ba42de00              

edc87da8654e966bee0e5c9b92ed67cb                       

098e60cd5053ec9613d32a7ced68e44f1a417353             

09959be9b5f8ca21caa55577ce620034632a3f92              

0c762bff5b4a0bf5abbdf28afc15cfc6dce575b1

勒索軟體LockBit的新變種攻擊印尼國家資料中心 造成大規模的公共服務遭受影響

包含機場自動通關系統遭癱瘓

Photo Credit: Shutterstock

      雅加達政府對外聲明表示,兩個臨時國家資料中心(National Data Center)設施在上週遭受勒索軟體LockBit 3.0的新變種攻擊造成資料中斷與外洩,導致共有210個中央和地方政府機構的資料庫受到攻擊影響,其中包含哈達國際機場的移民處理系統癱瘓,迫使移民官員進行人工檢查,導致旅客長時間等待的諸多不便。

      通訊部長(Budi Arie Setiadi)告訴國家通訊社(Antara),攻擊者勒索要800萬美金的贖金,以換取解密數據,並強調政府不會支付或遵守這些要求。

      國家網路和加密機構(National Cyber and Crypto Agency)負責人Hinsa Siburian表示,數位鑑識調查人員發現,攻擊者使用現有惡意軟體Lockbit的新變種勒索軟體Brain Cipher。Lockbit是一種阻止使用者存取電腦系統的勒索軟體,經常被駭客組織Lockbit用於對受害者進行數位勒索。駭客很可能停用了該中心的Windows Defender 安全功能,使他們能夠在不被注意的情況下進入系統,然後使用惡意軟體感染目標系統,刪除重要文件,並停用運行的服務。

      根據印尼當地媒體報導,這次攻擊也影響了學校和大學線上招生平台,迫使地方政府延長註冊期限,據報導該勒索軟體總共中斷至少210個本地服務。

      雖然對於駭客襲擊事件的調查還在進行中,印尼當局表示他們已經「隔離」了受感染的地區,但由於系統已加密,他們可用於分析攻擊的工具有限。截至週一(6月24日),印尼政府正在努力恢復全國範圍內受影響的公共服務,儘管包括護照和落地簽證處理在內的所有移民服務均正常運作。移民局、海事和投資部已於週一恢復服務,但許多其他城市仍處於恢復過程中。

      通訊和資訊部已經將資料暫時儲存在泗水和雅加達的兩個設施中,同時正在建造新的資料中心,以整合中央和地區各級政府機構的資料。這些設施由上市國有電信公司PT Telkom Indonesia的子公司Telkomsigma營運。

      在警方於二月關閉其勒索網站之前,LockBit是最猖狂的勒索軟體活動之一。僅僅三個月後,網路犯罪分子似乎又復活了它。網路安全分析師Dominic Alvieri 表示,這並不是印尼的資料中心第一次成為駭客的目標。2023年,ThreatSec 組織聲稱入侵了該中心的系統,據稱竊取了包括犯罪記錄在內的敏感資料。印尼另一起影響該國最大伊斯蘭銀行BSI的重大資料外洩事件就是由LockBit造成的。據報導去年5月,駭客竊取超過1500萬BSI客戶和員工的個人資訊。

      網路安全專家Ardi Sutedja告訴「雅加達郵報」表示,政府未能確保國家數位基礎設施達到最高安全標準。從事件的規模來看,這不再只是技術中斷,而是一場巨大的災難。他表示,長達數天的恢復時間令人擔憂,因為數位事件的標準恢復時間不應該超過24小時。

Lockbit的新變種Brain Cipher相關的部分的入侵指標(IOCs):

9cb96848386327410ca588b6cd5f6401    

968c4ae64dcb71c9eeffd812ef38a69d5548b3bb               

0ed5729655b3f09c29878e1cc10de55e0cbfae7ac344f574d471827c256cf086

美國以國家安全風險為由 禁售卡巴斯基產品

#BAN

美國政府宣布,由於來自俄羅斯的安全風險,禁止銷售卡巴斯基軟體,並敦促公民更換該軟體

美國政府週四(6/20)宣布禁止在該國銷售卡巴斯基防毒軟體,並且呼籲目前使用卡巴斯基相關產品的美國境內企業、消費者儘快更改到其他軟體服務。拜登政府宣布,由於俄羅斯對美國國家安全構成的風險,將禁止銷售卡巴斯基防病毒軟體。美國政府正在實施一項新規定,以俄羅斯構成國家安全風險為理由並利用在川普政府期間建立的權力來禁止銷售卡巴斯基軟體。美國商務部工業與安全局 (Bureau of Industry and Security,BIS) 宣布了一項最終裁決,禁止俄羅斯防毒軟體和網路安全公司的美國子公司卡巴斯基實驗室直接或間接提供防毒服務。美國商務部長吉娜·雷蒙多(Gina Raimondo)在周四的新聞發布會上告訴記者,當你想到國家安全時,你可能會想到槍支、坦克和飛彈,但事實是,它越來越與技術與軍民有關,而且與數據有關。 根據商務部長雷蒙,俄羅斯已經顯示出其有能力和意圖利用像卡巴斯基這樣的俄羅斯公司來收集和武器化美國人的個人資訊,因此美國政府必須採取行動的原因。

美國政府專家認為,俄羅斯克里姆林宮對卡巴斯基的影響構成了重大風險,據路透社報導,俄羅斯相關駭客可以濫用該軟體對電腦系統的特權存取權,從美國電腦中竊取敏感資料或散播惡意軟體。

這並不是西方政府首次禁止卡巴斯基,但該俄羅斯公司一直否認與俄羅斯政府有任何聯繫。 路透社報導稱,美國政府將採取另一項措施,將卡巴斯基的三個部門列入貿易限制名單。此舉將大大影響該公司在美國的銷售,並將打擊卡巴斯基的聲譽。據TechCrunch報導,該禁令將於7月20日開始,但該公司的活動,包括向其美國客戶提供軟體更新,將於9月29日被禁止。

「這意味著您的軟體和服務將降級。這就是為什麼我強烈建議您立即找到卡巴斯基的替代方案。」雷蒙多說。

雷蒙多呼籲卡巴斯基的客戶更換他們的軟體,並解釋說,已經使用卡巴斯基防病毒軟體的美國客戶並未違法。

「繼續使用或已有卡巴斯基產品和服務的美國個人和企業並未違法,您沒有做錯任何事,您也不會受到任何刑事或民事處罰。」雷蒙多補充說。「然而,我以最強烈的方式敦促您立即停止使用該軟體,並切換到其他替代方案,以保護自己、您的數據和您的家人。」

卡巴斯基回應指,他們相信美國的決定是基於當前地緣政治氣候和理論擔憂,而非對卡巴斯基產品和服務完整性的全面評估。

不僅AMD ?! 知名駭客IntelBroker也聲稱入侵Apple?! 暗網兜售疑是兩家公司的資料

6月19日,美國晶片巨頭AMD( Advanced Micro Devices) 稱正在調查潛在的網路攻擊,根據BleepingComputer報道,化名為「IntelBroker」的駭客正在出售其聲稱是從本月在AMD.com 漏洞中獲得的數據,AMD在一份聲明中證實,他們正在調查這起資料被盜事件。

AMD 在給媒體聲明中表示:“我們發現一個網路犯罪組織聲稱擁有被盜的 AMD 資料。我們正在與執法官員和第三方託管合作夥伴密切合作,調查這一說法和數據的重要性。” 前一天(6月18日),名為 IntelBroker 的網路犯罪組織在一個駭客論壇上發布該消息,聲稱6月某個時間點入侵了 AMD。被盜數據涉嫌包括即將推出的產品規格和計畫的數據,以及涵蓋員工和客戶資料的數據庫。其他被盜數據包括 AMD 的財務狀況、原始碼和韌體和ROM。為了增加駭客稱攻擊的可信度,IntelBroker 公佈了一些被盜數據的截圖,包括 AMD 員工的公司電子郵件地址和內部電話號碼。但顯示的員工資料均被標記為無效(Inactive),可表明這些員工已經不再在公司工作,電子郵件已經失效。IntelBroker 也沒有公佈任何被盜的客戶資訊,因此不清楚具體被盜的資訊有哪些。但其他截圖顯示了似乎是 AMD 內部文件的內容。特別是,一個截圖文件提到了包括 Ryzen 和 EPYC 晶片系列在內的各種 AMD 晶片的規格發布。另外,2022 年勒索軟體組織RansomHouse曾聲稱從AMD竊得450GB 數據。

今天6月19日, IntelBroker在同一個駭客論壇聲稱入侵了Apple,並現已獲得了三種常用Apple 工具的原始碼,包含Apple Connect-SSO、 Apple -HWE-Confluence-advanced、Apple巨集插件。目前未看到Apple對駭客的聲稱有任何回應,IntelBroker的聲稱仍未獲得證實。根據CyberNews如果屬實,外洩的工具的名稱可表明Apple用於各種系統的單一登入驗證、協作和自動化,可能會危及公司的內部工作流程。然而,未經證實,其程度和影響仍不確定。另外值得注意的是IntelBroker對AMD及Apple的聲稱入侵都是發生在6月。

IntelBroker 以針對知名目標進行高調入侵而聞名,在過去,曾出售據稱從歐洲刑警組織、家得寶 (The Home Depot ) 、匯豐和健康保險市場 DC Health Link等竊取的數據。

全球至少2萬臺FortiGate防火牆遭到中國駭客Volt Typhoon滲透

    根據近期外媒CRNBleepingComputer相繼報導荷蘭軍事情報和安全局(The Dutch Military Intelligence and Security Service-MIVD)發現自2月以來,中國駭客威脅組織在2022年和2023年的幾個月內利用了一個關鍵的FortiOS和FortiProxy遠端程式碼執行零日漏洞CVE-2022-42475,部署於全球至少20,000個易受攻擊的FortiGate防火牆上。

在該活動期間內,Fortinet 於2022年12月披露遠端程式碼執行(REC)漏洞之前的兩個月內,有14000台設備受到滲透並發現西方政府、國防工業國家和國際組織都是目標之一。該活動中利用的RCE漏洞編號為 CVE-2022-42475(CVSS風險評為9.8分),該漏洞與今年早些時候與中國的APT駭客組織Volt Typhoon的攻擊有關。美國相關機構二月份表示,已知Volt Typhoon透過利用包括Fortinet在內的多家供應商的網路設備來獲得相關關鍵基礎設施IT系統的初步存取權限。

 美國機構當時表示,在美國機構分享的一個「已確認的入侵」案例中,Volt Typhoon「可能透過利用網路外圍FortiGate 300D防火牆中的CVE-2022-42475 漏洞獲得關鍵基礎設施IT系統的初始存取權限」。

MIVD表示:”攻擊中使用的Coathanger遠端存取木馬(RAT)惡意軟體也在用於非機密專案研發(R&D)的荷蘭國防部網路中被發現。儘管如此,由於網路分段,攻擊者仍被阻止轉移到其他系統。MIVD發現這種以前未知的惡意軟體可以在系統重啟和韌體升級後幸存下來,是由中國APT的駭客組織在針對荷蘭及其盟國的政治間諜活動中部署的。這使得駭客能夠永久存取系統,即使受害者安裝了FortiGate的安全更新,駭客仍可繼續保留這種存取權限。

Fortinet當時發佈了一篇博文,指出”組織需要制定強大的修補管理計畫,並遵循最佳實踐以確保基礎設施的安全”。Fortinet在2月向CRN提供的聲明中表示:”我們繼續督促客戶即時修補並持續監控其網路是否在異常活動,以幫助減輕網路風險。”

MIVD認為,中國駭客依然可以接觸到許多受害者,因為Coathanger木馬程式很難檢測,因為它會攔截系統呼叫以避免暴露其存在,而且由於它在韌體升級後仍然存在,因此很難將其刪除。

    2024年以來資安產品的CVE漏洞越來越頻繁,尤其以存取閘道資安漏洞最嚴重。所以全方位的存取閘道資安政策(情資)部署,包含身份認證辨識保護、威脅監控、威脅情資搜尋與事件比對、資安強度評估、全面性視覺化資安監控,是強化存取閘道安全最重要的資安防禦措施。竣盟科技的Billows UCM-資通安全威脅偵測管理平台,就是建立存取閘道的資訊安全高強度以及企業完善的資安防護運營。

傳出台灣某上市光纖網路設備大廠 遭仙人掌勒索軟體加密

Key Points:

*仙人掌勒索軟體自 2023 年 3 月以來一直活躍,迄今一直針對知名目標。

*主要針對 VPN 設備,尤其是 Fortinet VPN 中的漏洞。從事件中觀察到的趨勢表明,未經授權的存取通常是使用 VPN 服務帳戶透過 VPN 伺服器獲得的。

*仙人掌勒索軟體最奇特的一點是它會以自我加密逃避偵測。

6月11日竣盟科技在仙手掌揭秘的暗網中發現有台灣某光纖網路設備業者的頁面,駭客聲稱已盜得該業者的公司機敏資料,包括工程檔案、財務資料、客戶資訊、個人身份文件,資料庫備份等。作為證據,駭客公佈疑似該企業台灣員工的護照及中國籍員工的通行證。然而目前沒看到駭客勒索的金額及談判最終的有效期限,相對於其他被勒索的公司,本次的台灣業者被盜的資料顯然較少,仙人掌稱盜竊了93GB的數據。

自 2023 年 3 月以來仙人掌(Cactus)勒索軟體組織已成為一個重大威脅,利用各種策略來破壞企業網路並部署勒索軟體。據觀察,該組織以 VPN 設備為初始存取目標,並利用已知漏洞在受害者環境中站穩腳跟,同時仙人掌會濫用合法的遠端監控和管理 (RMM) 工具來實現受感染系統的持久性。Cactus 勒索軟體組織於2023 年3月出現,透過利用已知漏洞(尤其是VPN 設備中的漏洞)、採用Living-off-the-Land 等複雜技術以及利用合法網路工具進行橫向移動,迅速升級了其行動。該組織的方法涉及使用需要解密金鑰才能執行的加密有效負載,這有助於逃避安全工具的偵測。 仙人掌也使用 Cobalt Strike 等工具,並利用 TotalExec 等腳本來自動化加密過程,這與 BlackBasta 勒索軟體組織使用的策略非常相似。 仙手掌勒索軟體不僅僅止於加密。駭客為確保其存在深植於受感染的系統中,採用複雜的感染鏈並利用多層混淆來隱藏其活動。從使用UPX 打包和利用OpenSSL、AES OCB和ChaCha20_Poly1305等加密演算法,到組織重新啟動執行和枚舉網路共享,Cactus 展示了多方面的攻擊方法,確保其活動不僅成功,而且保持秘密性。Cactus 勒索軟體透過建立一個名為「更新檢查任務」的排程任務(每 5 分鐘運行一次)來確保其在受感染系統中持續存在,從而將勒索軟體作為SYSTEM 運行,並確保其惡意活動繼續順利進行。

仙人掌是雙重勒索軟體變種的一個例子,除了結合使用 RSA 和 AES 來加密資料外,惡意軟體還嘗試竊取資料。據觀察,仙人掌可以使用 Rclone 來實現此目的,它將被盜的文件移動到雲端儲存。一旦加密和洩漏完成,仙人掌就會在使用者的電腦上發布勒索資訊。

仙人掌發布的勒索信–cAcTuS.readme.txt

以下提供仙人掌相關的部分的入侵指標(IOCs):

be139fc480984eb31de025f25a191035

08d2c800c93015092e14738c941ac492

02e4da16377fc85e71a8c8378b2a8a96

8b37df9d295bbc2906961f72b7cdc5fb

8af259ad55c3746926e992c82bc7e850

55e42014424c0d120ff17f11e207e4f0

5f7c3cda7759ef6e577552ad322c1f64

39fe99d2250954a0d5ed0e9ff9c41d81

0e4ee38fe320cfb573a30820198ff442

8d2e4bef47e3f2ee0195926bbf4a25d5

f7a6d1e6e5436bd3c10f3a26f3e9b9b9

fb467a07f44e8d58e93e3567fd7ff016

“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

勒索軟體Knight重新命名為RansomHub且加倍攻擊 傳出台灣電腦大廠遭駭

Knight(又稱 Cyclops 2.0)勒索軟體於 2023 年 5 月首次出現,採用雙重勒索策略來竊取和加密受害者的資料以獲取經濟利益。它可跨多個平台運行,包括 Windows、Linux、macOS、ESXi 和 Android。Knight利用網路釣魚和魚叉式網路釣魚活動作為惡意附件形式的分發媒介,並在RAMP網路犯罪論壇上推動廣涉及勒索軟體的攻擊。然而其勒索軟體即服務 (RaaS) 操作於 2024 年 2 月下旬關閉,並出售其原始程式碼,增加了勒索軟體轉手給其他駭客的可能性,據悉獲得該原始碼的駭客隨後並以Ransom Hub品牌重新出發。Ransom Hub 在同月發布了第一個受害者訊息,最近幾週與一系列高關注度勒索軟體攻擊有關,其中包括美國醫療集團 Change Healthcare、拍賣業者佳士得Frontier Communications(美國前線通訊公司)的攻擊。值得一提的是,Ransom Hub揚言不會攻擊獨聯體國家(Commonwealth of Independent States — CIS)包含古巴、北韓和中國。普遍認為這可能與俄羅斯有關,長期以來,俄羅斯一直對駭客犯罪活動視而不見,條件是這些活動不針對俄羅斯或其盟友。根據TheHackerNews報道,觀察到Ransom Hub 的攻擊是利用已知的漏洞 (例如ZeroLogon ) 來取得初始的存取權限,並在部署勒索軟體之前刪除Atera和Splashtop等遠端桌面軟體。

根據Malwarebytes分享的統計數據,僅在2024年4月, Ransom Hub 就與26起已確認的駭客攻擊事件有關,僅次於Play、Hunters International 、Black Basta和LockBit。另外,賽門鐵克一份報告中表示,Knight和Ransom Hub 這兩個系列的勒索軟體其程式碼重疊程度很大,很難區分它們。它們之間的重疊也延伸到用於編碼字串的混淆技術、機密檔案後遺失的勒索訊息,以及在開始加密之前以安全模式重新啟動主機的能力。唯一主要的區別是透過cmd.exe執行的命令集,儘管“相對於其他操作的呼叫方式和順序是相同的”。 昨日(6/6)也傳出藍天電腦遭Ransom Hub攻擊,被盜200Gb的資料,今天(6/7)該公司針對該起事件發佈重訊,稱其資安單位偵測網路傳輸異常,隨即啟動資安防禦及復原機制,目前未有無法營運或無法正常提供服務之情事。

根據美國知名網路安全公司Mandiant:”在近三分之一的事件中,勒索軟體是在攻擊者首次存取後48小時內部署的。” “百分之七十六(76%)的勒索軟體部署發生在工作時間之外,其中大多數是發生在清晨。” 而勒索軟體攻擊的特點在於用戶使用商業上可用的合法遠端桌面工具做為入侵操作,而不是依賴Cobalt Strike(滲透偵測工具)。對合法工具的日益依賴可能反應了攻擊者努力向檢測機制隱藏其操作,並減少自行開發與維護自訂工具所需要的時間與資源。

以下提供Ransom Hub相關的部分的入侵指標(IOCs):

勒索軟體的攻擊事件嚴重干擾了倫敦多家醫院

針對病理和診斷服務提供者 Synnovis 的勒索軟體攻擊嚴重影響了倫敦幾家主要醫院的運作。這次攻擊迫使受影響的醫院取消了一些醫療程序,在某些情況下,患者被轉移到其他醫院。

最近,醫療保健和病理服務提供者 Synnovis 成為勒索軟體攻擊的受害者。該事件涉及 麒麟(Qilin)勒索軟體的部署,麒麟勒索軟體作業於 2022 年 8 月以「Agenda」名稱啟動,但後來更名為麒麟。值得注意的是,這些勒索軟體攻擊通常充當更廣泛的網路間諜活動的掩護,針對高價值組織的敏感數據,然後將其用於情報目的,而不是純粹的經濟利益。

6 月 3 日,在第三方提供者遭受勒索軟體攻擊,導致醫療保健專業人員無法獲得病理學服務後,倫敦幾家最大的醫院已取消手術,並宣布進入緊急事件狀態。根據社群媒體上發布的發表貼文和內部電子郵件,勒索軟體攻擊影響了一家名為 Synnovis 的公司,該公司為多家醫療機構提供輸血驗血等病理學服務。受影響的醫院包括國王學院醫院、蓋伊醫院、聖托馬斯醫院、皇家布朗普頓醫院和伊芙琳娜倫敦兒童醫院。

 英國 NHS 發言人表示:“緊急護理仍然可用,因此患者應以正常方式獲得服務,在緊急情況下撥打 999 或撥打 111,患者應繼續赴約,除非另有通知。在政府國家網路安全中心和我們的網路運營團隊的支持下,我們正在緊急努力充分了解該事件的影響。”

受影響的醫院也取消了一些醫療程序(包括手術)或將其轉交給其他提供者,因為他們無法「安全」地執行這些程序。

由於不再提供快速週轉的血液檢測結果,受影響醫院的緊急護理也可能受到這次勒索軟體攻擊的影響。

Synnovis 客戶服務入口網站上的警報警告其資料中心出現問題,且所有系統目前都無法存取。

Synnovis 在其網站上發布的一篇文章中透露,它是勒索軟體攻擊的受害者:

6 月 3 日星期一,Synnovis成為勒索軟體網路攻擊的受害者。這影響了 Synnovis 的所有 IT 系統,導致我們的許多病理學服務中斷。該公司發布的聲明稱: 遺憾的是,這正在影響患者,由於優先處理緊急工作,一些活動已經取消或轉移給其他提供者。這家病理和診斷服務提供者已在 NHS 專家的幫助下對此攻擊展開調查。專家們正在努力全面評估攻擊的影響,並採取適當的行動來遏制事件。該公司還宣布,他們正在與 NHS Trust 合作夥伴密切合作,盡量減少對患者和其他服務用戶的影響。

Synnovis 前身為 Viapath,於 2009 年成立為 GSTS Pathology ,並於 2022 年 10 月切換為 Synnovis 品牌。

Synnovis 是 SYNLAB 英國和愛爾蘭、蓋伊和聖托馬斯 NHS 基金會信託基金以及國王學院醫院 NHS 基金會信託基金之間的合作夥伴。

Synlab Italia 是 SYNLAB 集團的一部分,在義大利各地運營 380 個實驗室和醫療中心,在被迫關閉 IT 系統以遏制勒索軟體攻擊後,該公司於 4 月下旬暫停了所有醫療診斷和測試服務。