男子利用爬蟲刪公司資料被捕、歐洲零售巨頭被勒索2.4億｜11月9日全球網路安全熱點

安全資訊報告

旋風行動對Clop勒索軟體團伙造成打擊

一項代號為“旋風行動”的為期30個月的國際執法行動以Clop勒索軟體團伙為目標，導致此前報導的六名成員在烏克蘭被捕。6月，BleepingComputer報導稱，烏克蘭執法部門逮捕了參與洗錢的Clop勒索軟體團伙的成員。

名為“旋風行動”的跨大陸行動由國際刑警組織位於新加坡的網路融合中心協調，並得到烏克蘭和美國執法當局的協助。此次行動的目標是Clop勒索軟體，該團伙對韓國公司和美國學術機構的多次攻擊，攻擊者加密裝置並勒索組織以支付贖金或洩露其被盜資料。

2020年12月，Clop對韓國企業集團和零售巨頭E-Land Retail進行了大規模勒索軟體攻擊，導致50家NC百貨公司和NewCore Outlet零售店中有23家暫時關閉。他們後來聲稱使用銷售點惡意軟體從該公司竊取了2,000,000張信用卡。最近，Clop利用Accellion安全檔案傳輸閘道器中的漏洞竊取了公司和大學的機密和私人檔案。當1000萬美元以上的贖金要求沒有支付時，威脅行為者公開發布了許多大學和學院的學生個人資訊。

Accellion攻擊的目標美國教育機構包括科羅拉多大學、邁阿密大學、史丹佛醫學院、馬里蘭大學巴爾的摩分校(UMB)和加利福尼亞大學。透過執法機構和私人合作伙伴之間的情報共享，“旋風行動”在烏克蘭逮捕了6名嫌疑人，搜查了20多間房屋、企業和車輛，沒收了計算機和185,000美元的現金資產。

此次行動還得到了私人合作伙伴的協助，包括Trend Micro、CDI、卡巴斯基實驗室、Palo Alto Networks、Fortinet和Group-IB。雖然被捕成員與Clop勒索軟體團伙有關聯，但他們主要參與了犯罪組織的洗錢活動。這家情報公司進一步表示，Clop行動的核心成員可能在俄羅斯。如果罪名成立，六名Clop嫌疑人將面臨最高八年的監禁。

烏克蘭SSU釋出的一段影片顯示，調查人員對嫌疑人的財產進行突襲，並沒收了證據。

新聞來源：

https://www.bleepingcomputer.com/news/security/operation-cyclone-deals-blow-to-clop-ransomware-operation/

勒索軟體組織REvil被多國合作取締

據報導，多國政府的努力導致臭名昭著的勒索軟體組織REvil下線，據稱其部分伺服器被劫持。據說在2021年早些時候，駭客組織應對了一些備受矚目的網路攻擊，包括6月的JBSMeat攻擊和7月的Kaseya攻擊。

透過最近的行動，VMWare(VMW.N)網路安全戰略負責人Tom Kellermann告訴路透社，美國執法和情報人員阻止了該組織對其他公司的傷害，對駭客組織採取重大破壞性行動。

Nominet的政府網路安全專家史蒂夫·福布斯(Steve Forbes)評論這項合作活動，認為最新發展是對抗全球駭客的重要一步。

福布斯告訴Digital Journal：“在與勒索軟體的鬥爭中，多國打擊勒索軟體組織REvil的重要性再怎麼強調也不為過。隨著該組織被迫下線，其部分伺服器據稱被劫持，最臭名昭著的勒索軟體運營商之一——今年早些時候對肉類加工商JBS和軟體供應商Kaseya進行了攻擊——已經中斷。”

新聞來源：

https://www.digitaljournal.com/tech-science/ransomware-group-revil-reportedly-taken-down-by-multi-country-effort/article

因被解僱，員工利用“爬蟲”刪除公司資料

因被公司解僱心生不滿，編寫“爬蟲”程式植入控制平臺網站後，對公司的相關資料程式碼進行刪除，造成公司經濟損失10餘萬元。近日，錄某某因涉嫌破壞計算機資訊系統罪，被上海市楊浦區檢察院提起公訴。

今年3月，錄某某應聘到北京某資訊科技有限公司楊浦子公司工作，負責某網購平臺優惠券、預算等系統的程式碼研發。同年6月中旬，錄某某因工作不符合要求被公司解僱。

於是，錄某某利用本人賬戶還未登出的機會登入公司電腦系統程式碼控制平臺，將自己編寫的“爬蟲”程式植入上述系統中，造成原先存檔在該平臺上的優惠券、預算系統和補貼規則等程式碼被刪除。

6月下旬，公司將預算系統上線時，才發現來歷不明的“爬蟲”程式已植入該系統，造成很多資料和程式碼被刪除。

公司隨即組織研發人員對電腦系統進行篩查，發現伺服器日誌上顯示刪除時間正是錄某某離職當天，且當時錄某某正在工位上操作計算機，於是認為錄某某有重大作案嫌疑，立即向公安機關報案。

辦案檢察官認為錄某某利用“爬蟲”程式刪除程式碼，導致該公司優惠券等商業活動延期釋出6天，第三方資料公司恢復資料庫花費2.2萬餘元，支付員工加班費2萬餘元，活動延期導致經濟損失10萬餘元，應對錄某某以破壞計算機資訊系統罪追究刑事責任。

新聞來源：

http://news.china.com.cn/2021-11/08/content_77857733.htm

MediaMarkt遭到Hive勒索軟體的攻擊，勒索贖金為2.4億美元

電子零售巨頭MediaMarkt遭遇了Hive勒索軟體，最初的贖金要求為2.4億美元，導致IT系統關閉，荷蘭和德國的商店運營中斷。

MediaMarkt是歐洲最大的消費電子產品零售商，在13個國家/地區擁有1,000多家商店。MediaMarkt擁有約53,000名員工，總銷售額為208億歐元。

MediaMarkt在週日晚上至週一早上遭受了勒索軟體攻擊，加密伺服器和工作站並導致IT系統關閉，以防止攻擊蔓延。

BleepingComputer瞭解到，這次攻擊影響了整個歐洲的眾多零售店，主要是荷蘭的零售店。

雖然線上銷售繼續按預期進行，但收銀機無法接受信用卡或受影響商店的列印收據。由於無法查詢以前的購買，系統中斷也阻止了退貨。當地媒體報導稱，MediaMarkt內部通訊告訴員工避免使用加密系統並斷開收銀機與網路的連線。

Twitter上釋出的涉嫌內部通訊的螢幕截圖顯示，此次攻擊影響了3,100臺伺服器。但是，BleepingComputer目前無法證實這些說法。BleepingComputer已確認HiveRansomware操作是這次攻擊的幕後黑手，最初要求獲得2.4億美元的鉅額贖金。

Hive勒索軟體是2021年6月推出的一項相對較新的操作，它會透過帶有惡意軟體的網路釣魚活動破壞組織。一旦他們獲得對網路的訪問許可權，威脅行為者將透過網路橫向傳播，同時竊取未加密的檔案以用於敲詐勒索。當他們獲得Windows域控制器的管理員訪問許可權時，他們會在整個網路中部署勒索軟體以加密所有裝置。

新聞來源：

https://www.bleepingcomputer.com/news/security/mediamarkt-hit-by-hive-ransomware-initial-240-million-ransom/

美國製裁Chatex加密貨幣交易所

美國財政部宣佈對Chatex加密貨幣交易所實施制裁，該機構幫助勒索軟體團伙逃避制裁並促進贖金交易。財政部還在9月批准了與俄羅斯有關聯的Suex加密貨幣交易所，因為它幫助了至少八個勒索軟體組織，其已知交易的40%以上與非法行為者有關。

“Chatex上已知的交易的分析表明，超過一半的被直接追蹤到非法的或高風險的活動，如暗網市場，高風險交流，勒索”財政部稱。透過制裁為勒索軟體團伙提供物質支援的加密貨幣交易所，美國希望耗盡他們的資金並破壞他們的運營。

財政部補充說：“像Chatex這樣無原則的虛擬貨幣交易對勒索軟體活動的盈利能力至關重要，尤其是透過洗錢和為犯罪分子兌現收益。財政部將繼續使用所有可用的權力來破壞惡意網路行為者，阻止不義之財，並阻止對美國人民採取更多行動。”

新聞來源：

https://www.bleepingcomputer.com/news/security/us-sanctions-chatex-cryptoexchange-used-by-ransomware-gangs/

歐洲刑警組織宣佈逮捕與REvil、GandCrab勒索軟體有關的7人

歐洲刑警組織週一宣佈，多個國家的執法機構共逮捕了7名涉嫌與REvil和GandCrab勒索軟體行動有關的人。

逮捕行動自2月以來一直在進行——三名嫌疑人在韓國被捕，一名在科威特，兩名在羅馬尼亞，一名在一個未具名的歐洲國家。據信，其中五名嫌疑人參與了利用REvil（又名Sodinokibi）勒索軟體的網路攻擊，而另外兩人則與GandCrab攻擊有關。

最近的逮捕行動是在11月4日進行的，他們的目標是位於羅馬尼亞和科威特的三人。

在這個未具名的歐洲國家被捕的人可能是上個月在波蘭被捕的烏克蘭國民Yaroslav Vasinskyi。

據美國有線電視新聞網報導，美國已要求引渡Vasinskyi面臨與使用REvil勒索軟體有關的指控，包括針對IT公司Kaseya的攻擊。預計司法部將於週一宣佈對Vasinskyi和俄羅斯國民Yevgeniy Polyanin的指控，後者仍然在逃。

預計司法部還將宣佈沒收Polyanin收到的600萬美元勒索軟體付款。

值得注意的是，2019年出現的REvil被描述為GandCrab的繼任者。這些勒索軟體家族已被用於針對幾家大公司的攻擊，其運營商要求支付數百萬甚至數千萬美元的贖金。

最近發生的一系列攻擊，包括對Kaseya和Colonial Pipeline的攻擊，導致當局加大了打擊勒索軟體的力度，導致逮捕、網路犯罪分子宣佈關閉，以及執法部門中斷運營。

新聞來源：

https://www.securityweek.com/europol-announces-arrests-7-people-linked-revil-gandcrab-ransomware

安全漏洞威脅

Babuk勒索軟體正在利用ProxyShell漏洞

據Cisco Talos的安全研究人員稱，最近觀察到的Babuk勒索軟體活動針對的是Microsoft Exchange Server中的ProxyShell漏洞。

研究人員發現有跡象表明攻擊者正在利用China Chopper web shell進行初始入侵，然後將其用於部署Babuk。

這些問題被追蹤為CVE-2021-34473、CVE-2021-34523和CVE-2021-31207，在4月和5月得到解決，技術細節在8月公開。未經身份驗證的攻擊者可以將錯誤連結到任意程式碼執行。

過去幾個月來，利用安全錯誤的攻擊一直在持續，思科的研究人員表示，自2021年7月以來一直活躍的Tortilla威脅攻擊者已開始針對Exchange Server漏洞進行攻擊。

所採用的感染鏈具有一箇中間解包模組，該模組從pastebin.pl（pastebin.com的克隆）下載，然後在解密和執行最終有效負載之前在記憶體中解碼。

Cisco Talos發現針對ProxyShell和PetitPotam漏洞的修改後的EfsPotato漏洞被用於初始入侵。

一旦執行，Babuk勒索軟體會嘗試禁用受害伺服器上的一系列程式，停止備份產品，並刪除卷影服務(VSS)快照。接下來，它會加密伺服器上的所有檔案，並將副檔名.babyk附加到這些檔案中。上週釋出了Babuk的免費解密工具。

然後勒索軟體會部署一張贖金票據，要求受害者支付10,000美元的贖金以換取解密金鑰。

Babuk最初於2021年1月詳細介紹，一直針對企業環境中的Windows和Linux系統，並使用相當複雜的金鑰生成機制來防止檔案恢復。

新聞來源：

https://www.securityweek.com/babuk-ransomware-seen-exploiting-proxyshell-vulnerabilities