事件一、【7/11】萬豪國際遭勒索軟體攻擊,可能外洩公司及客戶資料20GB
萬豪國際 (Marriott internationals) 是一間在紐約上市的國際飯店管理公司,在今年 (2022) 的6月28日其位於美國馬里蘭州的 Baltimore-Washington International Airport (BWIA) 機場的伺服器被無名的駭客組織 (Group of No Name, GNN) 侵入,在駭客組織恐嚇贖金未果後,外洩了將近 20GB 用戶個人信用卡與公司內部營運資料。
萬豪國際對外宣稱GNN是透過社交工程 (social engineering) 的方式,掌握了萬豪國際的伺服器,並透過伺服器觸及到酒店內部資料,其中被洩露的公司營運資料包括:內部空服人員的住房資料 (姓名、房號、飛機班次)、員工的評估與薪水。通過GNN自行與DataBreach.net的聯繫,GNN是一個攻擊世界各地商業組織的駭客組織,其已經運行超過五年的時間。這也是萬豪國際在近四年內的第三次資料外洩,據統計:2018年、2020年萬豪國際也曾經歷了資安攻擊,其資料遭洩露的影響範圍分別有500樣與520百萬人。
參考資料:
Algerian Encycopedia-Marriott hotels again victim of data theft (9 July 2022): https://www.politics-dz.com/en/marriott-hotels-again-victim-of-data-theft/
EXCLUSIVE: Marriott hacked again? Yes. Here’s what we know-DataBreach.net (5 July 2022): https://www.databreaches.net/exclusive-marriott-hacked-again-yes-heres-what-we-know/
萬豪國際遭勒索軟體攻擊,可能外洩公司及客戶資料20GB-ithome報導 (7 July 2022):https://www.ithome.com.tw/news/151817
事件二、【7/11】QNAP旗下NAS系統: Checkmate勒索軟體通過伺服器訊息區塊 (SMB) 來鎖定NAS用戶
威聯通科技(QNAP Systems, Inc.) 是來自台灣的科技公司,根據官網,其旗下的NAS 是一個可以集中儲存照片、影片、音樂及文件等資料的智慧儲存裝置,致力於協助企業提供安全、可靠的集中儲存及備份服務。
然而7月7日時,QNAP的官網上卻發佈了關於「部份NAS系統目前可能遭遇到惡意攻擊軟體 Checkmate攻擊」的聲明,並說明Checkmate的攻擊對象主要需符合以下兩個條件:
(1) 伺服器訊息區塊 (Server Message Block, SMB) 功能開啟。開啟此功能的用戶能在同一個網路中的不同裝置中可以共享檔案的功能。
(2) 密碼的安全性弱
根據官網的描述Checkmate惡意攻擊軟體,會使用暴力的字典攻擊 (Dictionary Attack) 的方式,反覆帶入字典中的字詞,直到破解用戶的密碼為止。一旦駭客成功登入用戶的任一設備,他們會將所有共享的檔案進行特殊的加密, 並在檔案夾中留下 "!CHECKMATE_DECRYPTION_README" (譯:Checkmate解碼指南) 根據部份受害者在 Bleepingcomputer.com 的回報,Checkmate會在受害者支付 $15,000 美金的贖金 (約448177台幣) 之後才會協助解碼目前被加密的共享檔案。直至7/10為止,QNAP仍在對於此次的惡意攻擊進行調查與更新。若您有使用NAS服務,QNAP在官網上提出以下建議:(詳請可參考:https://www.qnap.com/en/security-advisory/qsa-22-21)
(1) 關閉您的伺服器訊息區塊設定
(2) 將您的QNAP作業系統更新至最新的版本
(3) 檢查您的密碼強度是否為高強度
(4) 定期備份並留下您的共享檔案資料的快照
參考資料
QNAP 提醒針對使用者密碼強度不足的裝置發動之 Checkmate 勒贖攻擊-資安人報導 (11 Jul 2022):https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9957
QNAP:Checkmate勒索軟體通過伺服器訊息區塊 (SMB) 來鎖定NAS用戶-竣盟科技 (11 Jul 2022):https://blog.billows.com.tw/?p=2052
QNAP warns of new Checkmate ransomware targeting NAS devices-bleepingcomputer.com (7 Jul 2022): https://www.bleepingcomputer.com/news/security/qnap-warns-of-new-checkmate-ransomware-targeting-nas-devices/
QNAP: Checkmate ransomware group targeting customers through SMB Services-The Record (7 Jul 2022): https://therecord.media/qnap-checkmate-ransomware-group-targeting-customers-through-smb-services/
Checkmate Ransomware via SMB Services Exposed to the Internet-QNAP official (10 Jul 2022 updated): https://www.qnap.com/en/security-advisory/qsa-22-21
事件三、【7/11】惡意攻擊軟體0mega的出現- 新雙重敲詐手法的發展
0mega從今年五月 (2022) 問世以來,目前還沒有研究能找到樣本對此惡意攻擊軟體的加密手法進行研究。0mega無差別地瞄準國際各大組織,據了解,可能已經有數個組織受害並在雙重敲詐 (Double Extortioin Threat) 下交付贖金。雙重敲詐不同與單純的將資料加密並向受害者要求贖金,0mega等雙重敲詐手法還會竊取受害者的敏感資料,並循序漸進的將其公佈在網路上,讓受害者面對更大心理壓力,而更可能繳付大面額的贖金。據 Bleepingcomputer.com 網頁的了解,在5月23時,0mega曾公佈了某通訊公司的資料 (共152GB),並在幾天之後撒回。外界推測極有可能是因為該公司向0mega支付了敲詐的費用。
當0mega駭入設備後,它會在檔案夾中留下客製化的勒索說明 (DECRYPT-FILES[.]txt)。在勒索的說明中,受害者會得到一個連結到TOR (the onion router) 網絡,TOR允許匿名通信的自由軟體。受害者可以在此網絡中與0mega 取得連絡和交流,在交流之前,使用者需將此檔案上傳到0mega的驗證網站 (如下) 以驗證身份:
圖片來源:https://www.bleepingcomputer.com/news/security/new-0mega-ransomware-targets-businesses-in-double-extortion-attacks/
參考資料:
在資安攻擊的普及下, 惡意攻擊的手法和對象都較過去更廣而深入。許多國際企業,像是萬豪國際或是以連載漫畫著名的MangaToon ,甚至是網路程式學習網站DataCamp都正面臨著用戶資料外洩或是遺失的資安危機。
一旦受到各種惡意軟體的攻擊,企業的名譽、經濟和未來發展都將受到嚴重的影響。也因此許多的企業都針對其系統、網頁、源碼等等的弱點進行分析和管理改善。其中,PyPI在經過多次資安危機之後,目前也強制關鍵套件 (critical ) 的開發者與編輯者在讀取與寫入資料之前,先進行2FA (Two factor authentication) 的雙段驗證。 PyPI是python語言做為一個open-source的程式語言,在開發過程中的第三方套件資料庫,用戶們可以自行開發套件並上傳到PyPI供其他使用者進行使用。在過去,也有許多惡意的開發者利用PyPI上傳含有攻擊性的套件對於用戶的設備或是網路活動進行干預。因此,PyPI也在今年的7月要求所有所有套件中下載率達前1%的套件開發者需進行兩段式的身份驗證,除了保護開放中的套件之外,也保障套件的使用者。目前PyPI也持續追蹤完成雙段驗證的開發者,詳見此網頁:https://p.datadoghq.com/sb/7dc8b3250-389f47d638b967dbb8f7edfd4c46acb1?from_ts=1657505393878&to_ts=1657591793878&live=true。
參考資料
Malicious PyPl Packages Downloaded 40,000+ Times (19 Nov 2021): https://www.infosecurity-magazine.com/news/malicious-pypl-packages-downloaded/
PyPI Twitter Announcement (9 Jul 2022) : https://twitter.com/pypi/status/1545455297388584960
PyPI Repository Enforces 2FA for Critical Python Projects (11 Jul 2022) : https://www.infosecurity-magazine.com/news/pypi-enforces-2fa-critical-projects/
MangaToon 用戶資源外洩 (11 Jul 2022) : https://www.ithome.com.tw/news/151880