安全資訊報告

美國網路安全和基礎設施安全域性(CISA)釋出BlackMatter勒索軟體攻擊警報

網路安全和基礎設施安全域性(CISA)、聯邦調查局(FBI)和國家安全域性(NSA)今天釋出了一份諮詢報告，其中詳細介紹了BlackMatter勒索軟體團伙的運作方式。

BlackMatter於2021年7月首次出現，是勒索軟體即服務(Raas)工具，允許勒索軟體的開發人員從針對受害者部署它的網路犯罪附屬機構（即BlackMatter參與者）中獲利。BlackMatter可能是DarkSide的更名，DarkSide是一個從2020年9月到2021年5月活躍的RaaS。BlackMatter的參與者攻擊了許多美國組織，並要求以比特幣和門羅幣支付80,000到15,000,000美元的贖金。

公告提供了從在沙盒環境中分析的BlackMatter勒索軟體樣本以及受信任的第三方報告中獲得的有關網路攻擊者的策略、技術和程式(TTP)的資訊。

針對關鍵基礎設施實體的勒索軟體攻擊，可能直接影響消費者對關鍵基礎設施服務的訪問；因此，CISA、FBI和NSA敦促所有組織（包括關鍵基礎設施組織），實施本聯合諮詢的緩解部分中列出的建議。這些緩解措施將幫助組織降低BlackMatter勒索軟體攻擊的危害風險。

新聞來源：

https://www.bleepingcomputer.com/news/security/fbi-cisa-nsa-share-defense-tips-for-blackmatter-ransomware-attacks/

臭名昭著的REvil勒索軟體團伙稱其Tor網站遭到入侵

REvil是近年來發起一系列網路攻擊的臭名昭著的勒索軟體團伙，在該網路犯罪組織在中斷兩個月後突然捲土重來後一個多月，它似乎又一次脫離了人們的視線。

REvil攻擊參與者在論壇發貼，稱不明身份者可能獲取了Tor支付入口網站和資料洩露網站的控制權。

“伺服器受到威脅，他們正在尋找我。準確地說，他們刪除了我在torrc檔案中隱藏服務的路徑，並提出了自己的路徑，以便我去那裡。”使用者0_neday在帖子中說。

尚不清楚誰是REvil伺服器入侵的幕後黑手，如果是執法機構在關閉域方面發揮了作用，也是有可能的。

這個與俄羅斯有關聯的勒索軟體組織在今年早些時候攻擊JBS和Kaseya後受到了嚴格審查，促使其在2021年7月將其暗網站點下線。但在2021年9月9日，REvil意外迴歸，重新暴露了其資料洩漏網站以及支付和談判門戶重新上線。

上個月，《華盛頓郵報》報導稱，美國聯邦調查局(FBI)在近三週內阻止與Kaseya勒索軟體攻擊的受害者共享解密器，這是它透過訪問該組織的伺服器獲得的，作為計劃的一部分擾亂團伙的惡意活動。報告補充說：“計劃中的刪除從未發生，因為REvil的平臺在7月中旬下線——沒有美國政府幹預——駭客在FBI有機會執行其計劃之前就消失了。”

新聞來源： 

https://thehackernews.com/2021/10/revil-ransomware-gang-goes-underground.html

安全漏洞威脅

埃森哲確認其在勒索軟體攻擊中資料被盜

諮詢巨頭埃森哲已確認專有資訊在2021年8月披露的勒索軟體攻擊中被盜。

當時，LockBit勒索軟體運營商聲稱從埃森哲的系統中竊取了超過6TB的資料，要求支付5000萬美元的贖金以換取資料保密。

鑑於埃森哲沒有按時支付要求的金額，攻擊者釋出了據稱在事件中被盜的2,000多個檔案，並威脅要釋出更多檔案。

埃森哲還指出，未經授權訪問其系統、資料盜竊和涉及公司啟用或提供的客戶系統的違規事件等事件並未對運營產生重大影響，但預計會產生財務影響。

目前尚不清楚攻擊者能夠從埃森哲竊取什麼型別的資料。但是，該公司似乎並未發出違規通知，以提醒個人身份資訊被洩露。

新聞來源： 

https://www.securityweek.com/accenture-confirms-data-stolen-ransomware-attack

Sinclair電視臺週末因勒索軟體攻擊而癱瘓

Sinclair Broadcast Group已確認在週末遭受勒索軟體攻擊。辛克萊還表示，攻擊者還從公司網路中竊取了資料。

2021年10月16日，公司確定並開始調查並採取措施遏制潛在的安全事件。2021年10月17日，公司發現其環境中的某些伺服器和工作站被勒索軟體加密，並且某些辦公和運營網路中斷。資料也取自公司的網路。公司正在努力確定資料包含哪些資訊，並將根據其審查採取其他適當措施。

發現安全事件後，電視臺及時通知高階管理層，公司實施事件響應計劃，採取措施遏制事件，並展開調查。聘請了法律顧問、網路安全取證公司和其他事件響應專業人員。該公司還通知了執法部門和其他政府機構。由於正處於安全事件調查和評估的早期階段，尚無法確定該事件是否對其業務、運營或財務業績產生重大影響。

Sinclair Broadcast Group是財富500強媒體公司（2020年的年收入為59億美元）和領先的本地體育和新聞提供商，擁有多個國家網路。其業務包括隸屬於Fox、ABC、CBS、NBC和TheCW的185家電視臺（包括21個區域體育網路品牌），在美國87個市場擁有約620個頻道（佔美國所有家庭的近40%）。

訊息人士告訴BleepingComputer，勒索軟體攻擊導致了這些重大技術問題。攻擊者已經能夠透過Sinclair的企業Active Directory域影響許多電視臺。

新聞來源：

https://www.bleepingcomputer.com/news/security/sinclair-tv-stations-crippled-by-weekend-ransomware-attack/

賽門鐵克釋出報告，披露了惡意破壞南亞電信公司系統的APT攻擊活動

一個以前未知的國家贊助的行為者正在部署一種新的工具集，以針對南亞的電信提供商和IT公司進行攻擊。該組織的目標——被發現它的賽門鐵克研究人員追蹤為Harvester——是在高度針對性的間諜活動中收集情報，重點是IT、電信和政府實體。

Harvester的惡意工具以前從未在野外遇到過，這表明這是一個與已知對手沒有聯絡的威脅行為者。

研究人員表示：“Harvester組織在其攻擊中同時使用了自定義惡意軟體和公開可用的工具，該攻擊始於2021年6月，最近一次活動發生在2021年10月。目標行業包括電信、政府和資訊科技(IT)。”

以下是Harvester操作員在攻擊中使用的工具的摘要：

• Backdoor.Graphon：使用微軟基礎設施進行C&C活動的自定義後門

• Custom Downloader（自定義下載器）：使用Microsoft基礎架構進行C&C活動

• Custom Screenshotter（自定義螢幕截圖器）：定期將螢幕截圖記錄到檔案中

• Cobalt Strike Beacon：將CloudFront基礎設施用於其C&C活動（Cobalt Strike是一個現成的工具，可用於執行命令、注入其他程式、提升當前程式或模擬其他程式，以及上傳和下載檔案）

• Metasploit：一種現成的模組化框架，可用於受害機器上的各種惡意目的，包括許可權提升、螢幕捕獲、設定持久後門等。

新聞來源： 

https://www.bleepingcomputer.com/news/security/state-backed-hackers-breach-telcos-with-custom-malware/