假借資安人員名義的勒索軟體攻擊再度出現!有研究人員披露,使用勒索軟體Phobos的駭客,近期打著資安研究社群VX-Underground的名號發動攻擊
根據資安新聞網站Bleeping Computer的報導,資安入口網站PCrisk的研究人員發現勒索軟體Phobos的變種,但值得留意的是,這些駭客假冒資安研究社群VX-Underground的名義行兇,一旦電腦感染此勒索軟體、檔案被加密之後,副檔名會被改為帶有VXUG(該社群名稱縮寫)的特定字串。
而對於駭客留下的勒索訊息,Bleeping Computer取得勒索軟體進行分析,發現有2種型式的檔案,其中一種是純文字檔案,並強調解密密碼並非「infected」(研究人員打包惡意程式樣本所使用的密碼);另一種是HTML應用程式檔案(HTA),檔案名稱提及要求購買VX-Underground著作Black Mass。
1. https://twitter.com/pcrisk/status/1726482750704619786
2. https://twitter.com/vxunderground/status/1726604821242040407
勒索軟體駭客組織Play將其工具提供出租,吸引更多打手加入
資安業者Adlumin披露勒索軟體Play(亦稱PlayCrypt)近期的動態,他們發現該組織已發展出攻擊工具租用的服務(RaaS)。
使用此勒索軟體的駭客似乎依照該組織提供的操作指南,按部就班發動攻擊,所有的攻擊行動幾乎採用相同的策略、技巧、流程(TTP),其中一種是使用電腦共用的音樂資料夾來隱匿檔案,另一個則是採用幾乎相同的密碼建立高權限帳號。研究人員之所以發現這項趨勢,起因是過往該駭客組織主要的攻擊目標是政府機關,但今年8月起,該勒索軟體的攻擊行動竟突然擴及不同的產業,而且,這些駭客都使用相同的TTP,導致這些攻擊行動的入侵指標(IOC),彼此之間幾乎無法區分。
為何會出現這樣的轉變?研究人員認為,該組織可能吸引不少「只會套用腳本的新手(Script Kids)」買單,這些人是花錢買兇、租用此勒索軟體從事攻擊行動,而非本身熟悉或能自行開創攻擊技術的專家。
美國NASA、空中巴士合作夥伴Autonomous Flight Technologies遭勒索軟體駭客BlackCat鎖定
資安人員Dominic Alvieri透露,勒索軟體駭客組織BlackCat聲稱入侵無人機系統製造商Autonomous Flight Technologies(AFT),很可能將竊得的資料賣到美國國外。
值得留意的是,該公司與美國太空總署(NASA)、空中巴士、諾斯洛普格魯曼(Northrop Grumman)等業界龍頭,合作關係相當密切,這起事故造成的後續效應有待觀察。
木馬程式NetSupport RAT鎖定政府機關、企業組織而來
VMware旗下的威脅情報團隊揭露近期NetSupport RAT木馬程式的攻擊行動,研究人員在最近幾個星期裡,觀察到超過15起與此有關的資安事故,大部分受害者來自教育機構、政府機關、商業服務單位。
駭客架設瀏覽器更新的冒牌網站,並引誘使用者上當,一旦依照指示按下網站上的更新按鈕,電腦就會觸發網站當中的PHP指令碼,繼而下載JavaScript惡意酬載。
此JavaScript指令碼會與C2網站建立連線,然後呼叫PowerShell執行受到混淆處理的命令,從另一個網域下載Base64編碼處理的資料,並在記憶體內進行解碼,還原成名為p.zip的壓縮檔,其內容就是NetSupport RAT的有效酬載。駭客將其部署於受害電腦,從而進行控制。
中心綜合醫院傳出掛號系統無法使用、預約資料消失,疑遭網路攻擊所致
根據華視新聞的報導,位於臺北市東區的中心綜合醫院,傳出在11月18日遭到惡意人士發動的網路攻擊,導致民眾看診無論是否有事先預約,都必須依照醫護人員的指示進行現場掛號,透過人工作業的方式進行。有人從掛號到領藥,就耗費超過2個小時,院內多處張貼相關的公告,指出他們的預約系統資料發生遺失的情況。醫院工作人員透露,原因是掛號系統系統異常,先前掛號都要重新登記。
中心綜合醫院公共關係組組長孫平社證實系統當機的情況,並指出事件於18日發生,他們與合作廠商陽明科技著手搶修掛號系統,20日約有半數恢復,但當日晚間該系統又出現病毒感染的情況。至於病人個資是否遭到外洩?中心綜合醫院、陽明資訊並未正面回應。
針對此事我們也向中心綜合醫院進行確認,孫平社表示22日大部分系統已恢復正常運作,而對於資料外洩的疑慮,她表示涉及資訊專業,不便說明。
旅遊業者雄獅證實遭遇網路攻擊事件,客戶採購資訊外流,但不含信用卡資料
國內旅行社龍頭雄獅11月20日傳出遭到網路攻擊,根據該公司網站的公告指出,他們單天凌晨偵測到攻擊行動,不明人士入侵其網路環境,他們啟動資安防禦機制進行事件回應作業,並向主管機關及檢調單位進行通報。該公司著手調查後,發現攻擊者存取的資料包含客戶姓名、聯絡方式、購買商品內容,但不含信用卡等機敏資料。
他們也透過簡訊、電話語音、網站、電子郵件等方式對客戶進行呼籲,這起資安事故可能會帶來後續的網路詐騙攻擊,強調該公司及旅遊商品供應商不會透過電話要求提供信用卡資料、要求ATM轉帳,或是因為訂單錯誤、重覆交易要求提供帳戶資料。
同日傍晚雄獅也於股市公開觀測站發布重大訊息,指出這起攻擊事故並未對公司營運造成重大影響。
司法院針對判決資料外洩事故做出新的說明
11月13日民報披露司法院內部電腦遭駭,司法院回應遭駭主機不提供民眾註冊、不儲存裁判書,也沒有內網密碼及判決書遭到公開的情況。21日該媒體提出新事證,他們公布目前掌握的資料,指出遭駭電腦不僅曝露管理員密碼,外流的判決書含有未成年子女的姓名。
對此司法部坦承,他們再度檢視外洩資料發現,部分案件的主文公告含有裁判書理由內容,有些主文公告也含有個資,他們找到923件外洩個資,將儘速請各法院進行確認,並根據個資法通知個資所有人。
【資安防禦措施】
Google旗下的慈善組織Google.org將挹注1百萬美元,支持國家資通安全研究院(NICS)啟動的NICS臺灣資安計畫。
此計畫由資安院規畫執行,區分為下列三大階段:
(一)調查、研究臺灣資安領域的需求;
(二)建立教材、訓練種子講師與諮詢團隊;
(三)替資源有限的中小微型企業與非營利組織盤點資源、培訓人員,並提供實地輔導。
資安院的目標,是在2年內製作出指引報告、觸及3千個組織,持續製作教材、培育50位種子講師,並且訓練200位學生成為諮詢人員,協助我國3千間以上中小微型企業、非營利組織強化資安防護。
