本文探討針對 Linux 平台的 DarkSide 勒索病毒變種,說明它如何攻擊 VMware ESXI 伺服器的虛擬機器 (VM) 相關檔案、讀取自己的組態設定,然後終止虛擬機器、將受感染電腦的檔案加密,並且將蒐集到的系統資訊傳送至遠端伺服器。
正如我們上一篇部落格指出,DarkSide 勒索病毒正瞄準美國、法國、比利時、加拿大等地的製造、金融、關鍵基礎建設等產業。DarkSide 勒索病毒可攻擊 Windows 和 Linux 平台。此外,我們也注意到其 Linux 變種專門攻擊 ESXI 伺服器。
🔻延伸閱讀:
Darkside再挑釁!癱瘓美東輸油動脈後 又駭進3家企業勒贖
Kaseya在7月4日(美國國慶日)前夕遭受REvil(又名Sodinokibi)勒索病毒攻擊,驚動白宮。這次攻擊針對他們的本地端 VSA 產品。
| 惡名昭彰的駭客組織REvil,去年曾先後攻擊台灣多家知名企業,各勒索價值約5000萬美元的加密貨幣。 REvil 一貫的手法就是從受害企業內部竊取大量機敏性資料,並留下暗網地址,讓受害企業前往確認是否為內部資料,若不支付贖金將持續上傳企業機密資料並販售。 根據《美聯社》報導,REvil 之前就成功勒索全球最大肉品加工商JBS約1100萬美元(約新台幣3億400萬元),這次更要求支付相當7000萬美元(約新台幣19億5200萬元)的加密貨幣,就一次解開所有網路攻擊。 |
更新於美東時間 7 月 5日上午 01 時 48分:Dutch Security Hotline(DIVD CSIRT)已經確認 CVE-2021-30116是勒索攻擊所用的零時差漏洞之一。此 Kaseya 漏洞是在對系統管理工具進行的研究中所發現;在此事件發生前,Kaseya和 DIVD-CSIRT正在合作進行披露的工作。此外,關於 REvil 推動通用解密程式交易的報導也浮出水面。
Kaseya是一家為管理服務商(MSP)和IT公司提供IT管理軟體的公司,在7月4日(美國國慶日)前夕遭受到REvil(又名Sodinokibi)勒索病毒 Ransomware (勒索軟體/綁架病毒)的攻擊,該公司也發出了公告。
該公司稱此為針對其本地端VSA產品的「複雜網路攻擊」。該公司建議其所有客戶關閉其本地端VSA伺服器,直至進一步的通知。
作為保守的安全措施,Kaseya還決定在調查期間關閉其軟體即服務(SaaS)伺服器。
繼續閱讀最新報告指出美國是全球駭客集團鎖定的首要目標
【2021年7月1日,台北訊】全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天發布一份最新「2020 年 ICS 端點威脅報告」報告指出,專門瞄準工業廠房的勒索病毒攻擊正帶來日益升高的停機與機敏資料外洩風險。
請點選以下連結來取得這份完整報告「2020 年 ICS 端點威脅報告」:https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/2020-report-ics-endpoints-as-starting-points-for-threats。
趨勢科技前瞻威脅研究團隊資深經理 Ryan Flores 表示:「工業控制系統正面臨嚴重的資安挑戰,因為有太多安全上的漏洞,而駭客顯然也緊盯著這些漏洞。有鑑於美國政府目前已將勒索病毒攻擊視為與恐怖主義同樣嚴重的問題,我們希望透過這份研究來協助擁有工業廠房的企業重新調整其資安措施的焦點與人力。」
繼續閱讀聲譽良好、經營穩建、市值規模較大的,所謂藍籌企業(Blue-chip businesses )並非是近日唯一遭受勒索病毒重創的企業。其對業務連續性的威脅也可能對消費者造成連鎖反應,Colonial Pipeline的石油管道暫時關閉後出現的大量燃料囤積事件就證明了這一點;此外,當全球最大肉類生產商JBS的數家工廠停止生產以調查網路攻擊時,人們也都預期會出現肉類短缺。雖然兩者都迅速地恢復了營運,但並非全無代價。Colonial Pipeline一開始付給了DarkSide超過440 萬美元,其中有大部分可以在之後取回。而JBS則是決定支付REvil 1,100 萬美元以保護他們的客戶,即便他們已經自行恢復了大部分系統。本文裡概述了如何避免遭受網路犯罪份子洗劫的最佳實作和對策。
勒索病毒與大企業間的故事由來已久,眾所周知,惡意駭客會將目標放到財力雄厚的目標以求豐厚的回報:最近一連串針對企業的勒索病毒HYPERLINK “http://blog.trendmicro.com.tw/?p=12412” Ransomware (勒索軟體)攻擊突顯出網路勒索攻擊會如何造成大規模營運中斷並打亂全球的供應鏈。在今年五月,美國最大石油管道公司Colonial Pipeline被迫關閉部分系統以控制住網路犯罪集團DarkSide所造成的勒索病毒爆發 – 這次攻擊竊取了他們100 GB的資料。全球最大的牛肉供應商JBS也在幾週後遭遇REvil集團類似的攻擊,癱瘓了他們的電腦系統。
根據趨勢科技關於勒索病毒的最新報告,REvil和DarkSide都列在竊取和外洩網路資料量最大的勒索病毒榜單上,如圖1所示。
繼續閱讀【2021年6月10日,台北訊】全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天發表一份關於 Nefilim 勒索病毒集團的研究報告,報告中詳細說明最新勒索病毒攻擊的深入分析與洞見,包含勒索病毒集團的最新發展、他們如何躲避偵測,以及企業如何利用進階多層式偵測及回應為核心的威脅防禦平台來攔截這類威脅。
最新勒索病毒家族的犯案手法,讓原本就已疲於奔命的資安營運中心 (SOC) 和 IT 資安團隊,更難偵測及回應這類威脅。這不僅影響到企業的獲利能力和商譽,更影響到 SOC 團隊日常維運。
趨勢科技網路犯罪研究總監 Bob McArdle 表示:「最新勒索病毒攻擊運用了進階持續性滲透攻擊 (APT) 集團長期磨練出來的方法,因此非常具針對性、適應性及隱密性。像 Nefilim 這樣的集團會藉由竊取資料與鎖住企業關鍵系統來勒索一些獲利頂尖的全球企業。這份最新的報告對於每位想要徹底了解這急速成長的地下經濟,以及想知道 Trend Micro Vision One 如何協助企業加以反擊的企業人員來說,都是一份必讀資料。」
在該報告從 2020 年 3 月至 2021 年 1 月所研究的 16 個勒索病毒集團當中,已知受害者數量最多的四大集團分別為:Conti、Doppelpaymer、Egregor 及 REvil。而竊取資料最多的是 Cl0p集團,前後共 5TB 資料存放上線上。
