勒索軟體劫持資料新去處

勒索軟體劫持資料新去處   為了脅迫受害組織支付贖金,勒索軟體駭客往往會先竊取內部資料再進行檔案加密,但現在駭客更換外流資料的管道,也引起研究人員的注意。   一般來說,勒索軟體駭客原本用來外流受害組織資料的管道,最常見的是利用雲端檔案共享服務Mega提供的公用程式MEGASync,或是能公開取得的Rclone,但資安業者ModePUSH發現,變臉(BianLian)、Rhysida等多個勒索軟體駭客組織,越來越頻繁地利用Azure Storage Explorer、AzCopy,將竊得的資料送到Azure Blob儲存桶。   為何這些駭客選擇濫用Azure Blob儲存桶?研究人員指出,主要原因在於Azure是許多企業採用的服務,因此相關流量不太可能會遭到防火牆或是資安系統攔截;再者,駭客在短時間內外流竊得資料的過程,藉由Azure的延展性,他們可以因應這些非結構化的大量資料。   對於這些駭客使用的作案工具,研究人員特別提及勒索軟體ScRansom的結構並不嚴謹,從相關攻擊行動裡,突顯駭客在勒索軟體領域的能力不夠成熟。他們發現,駭客的解密工具雖然能正常運作,但在解密過程通常需要多組金鑰,而且還會出現部分檔案面臨永久性損壞的情況,換言之,受害者若是選擇低頭向駭客付錢,很有可能無法完全正常復原所有資料。   若平時就有定期執行每日備份任務,即可有效的減少災難恢復所需要的時間, 面對資訊安全災難,您需要以下方案 ●1:對所有電腦系統進行每日備份,增加RPO ●2:將備份存放區設計成不可變更儲存,或隔離保護 ●3:備份檔案異地副本,達成備份321原則 ●4:使用備用虛擬平台,將備份即時恢復啟動,減少RTO   對此,我們提供客戶採購前/中/後:規劃評估,導入,維護。 設計良好的備份系統可防止備份被加密或刪除,在災難事件發生後使用這些備份將系統重建到完全可操作狀態。 我們絕不輕視備份的重要性。所有組織都必須擁有一個強大而安全的備份系統,這一點至關重要。  
2024
September
24

近期資安威脅態勢:偽冒、配置錯誤

  近期資安威脅態勢:偽冒、配置錯誤   近期的資安威脅態勢,有多起新聞是聚焦在偽冒、配置錯誤這兩大議題,成為不可忽視的風險熱點,突顯企業、個人在網路安全上的潛在薄弱環節。   以配置錯誤而言,有幾則新聞值得關注: 第一則已有攻擊行動需特別注意,有11萬個網域成為攻擊者可鎖定的對象; 第二則有數千個公開的SuiteCommerce受影響,用戶需在攻擊者關注此攻擊面下,儘速對相關組態進行檢查。     出現一波向企業勒索的攻擊行動,是攻擊者鎖定在AWS公開曝險的bucket,並利用企業的雲端應用環境設定不當,進而得以竊取包含像是驗證憑證的環境變項檔(.env)檔竊取重要資料,並向受害組織勒索。針對Oracle旗下的雲端ERP平臺NetSuite,研究人員指出存在用戶配置錯誤情況相當廣泛,原因在於名為SuiteCommerce電商網站元件中一項CRT的存取控制錯誤組態造成,提醒相關用戶應加強這方面的管理,以避免資料外洩。 上周六(8/24)太平洋時間周六一早,西雅圖機場發生疑似網路攻擊,引發部份系統斷線。這起事件造成數個系統網路中斷,包括網站及電子郵件系統。但旅客航站及機場安全系統未受影響,因此所有進出關檢查措施皆正常運行。機場人員正持續趕工,以及早恢復系統營運。 不過截至臺北時間周二早上,西雅圖機場網站仍未恢復,意謂著停機時間已至少超過48小時。     雖然一般為期那麼久的IT停機事件,元兇可能是勒索軟體,但是至今沒有勒索軟體或其他駭客組織出面宣稱是其所為。 若平時就有定期執行每日備份任務,即可有效的減少災難恢復所需要的時間, 面對資訊安全災難,您需要以下方案 1:對所有電腦系統進行每日備份,增加RPO2:將備份存放區設計成不可變更儲存,或隔離保護3:備份檔案異地副本,達成備份321原則4:使用備用虛擬平台,將備份即時恢復啟動,減少RTO   對此,我們提供客戶採購前/中/後:規劃評估,導入,維護。 設計良好的備份系統可防止備份被加密或刪除,在災難事件發生後使用這些備份將系統重建到完全可操作狀態。 我們絕不輕視備份的重要性。所有組織都必須擁有一個強大而安全的備份系統,這一點至關重要。
2024
August
28

因軟體產品更新造成服務中斷的災情

因軟體產品更新造成服務中斷的災情   7月19日傳出微軟雲端服務大當機,經查是資安公司CrowdStrike更新EDR時出包,造成安裝微軟作業系統的電腦,出現藍色當機畫面(blue-screen-of-death,BSOD)的狀態。   此次CrowdStrike引發藍色當機畫面的受駭產業範圍甚廣,包括金融業、資服業、傳統製造和高科技製造業者等,都陸續傳出受駭災情;此外,根據其他媒體報導,其他像是臺灣有航空業者,也是此次災情的受害者。   因為CrowdStrike災情,造成存放AD伺服器的BitLocker無法存取;而高科技製造業用來保護關鍵系統,也出現交易資料不一致,改採人工作業補救   當災難發生時,因為不斷出現藍色當機畫面,部分公司的資安人員只能協同其他IT部門同仁,一起透過按F8按鍵進入電腦的安全模式後,才能進行CSAgent.sys更新名稱後再重啟的作業。   若平時就有定期執行每日備份任務,即可有效的減少災難恢復所需要的時間, 面對資訊安全災難,您需要以下方案 ●1:對所有電腦系統進行每日備份,增加RPO ●2:將備份存放區設計成不可變更儲存,或隔離保護 ●3:備份檔案異地副本,達成備份321原則 ●4:使用備用虛擬平台,將備份即時恢復啟動,減少RTO   對此,我們提供客戶採購前/中/後:規劃評估,導入,維護。 設計良好的備份系統可防止備份被加密或刪除,在災難事件發生後使用這些備份將系統重建到完全可操作狀態。 我們絕不輕視備份的重要性。所有組織都必須擁有一個強大而安全的備份系統,這一點至關重要。    
2024
August
06

針對VMware虛擬化環境的勒索軟體

針對VMware虛擬化環境的勒索軟體   資安業者Recorded Future近期公布他們的調查結果,指出這些駭客也與許多勒索軟體組織相同,不只針對Windows、Linux電腦下手,他們也使用勒索軟體攻擊VMware ESXi虛擬化環境,而這是首度有研究人員提及該組織針對虛擬化平臺打造勒索軟體的情況。 他們發現,該駭客組織約自4月開始將ESXi版本的勒索軟體納入武器庫,而有別於針對Windows及Linux電腦的RansomHub採Go語言打造而成,針對ESXi的勒索軟體則是以C++開發,但具備Windows、Linux版共通的核心功能。 面對勒索軟體防護,您需要以下方案●1:對VMware上的VM進行備份●2:將備份存放區設計成不可變更儲存,或隔離保護 ●3:備份檔案異地副本,達成備份321原則 對此,我們提供客戶採購前/中/後:規劃評估,導入,維護。設計良好的備份系統應防止備份被加密或刪除,在勒索軟件事件發生後使用這些備份將系統重建到完全可操作狀態。我們絕不輕視備份的重要性。所有組織都必須擁有一個強大而安全的備份系統,這一點至關重要。      
2024
June
26

面對勒索軟體的威脅該如何處理?

面對勒索軟體的威脅該如何處理?   勒索軟體駭客組織Hunters International在本月聲稱攻陷臺灣電腦周邊產品大廠群光電子並竊得大批內部資料,群光電子強調營運並未受到影響,也沒有重要資料外流的跡象   對此,群光發布重大訊息針對此事提出說明。該公司指出,他們的資安單位發現駭客攻擊行動時,就啟動相關防禦機制及復原作業,但這起事故對方並未影響公司核心資通訊系統、網站運作,且並無個資及機密文件資料外洩,這起事故並未對他們造成重大損害或是影響,亦未對營運產生重大影響。   其實在本月,也有許多臺灣廠商受到勒索軟體攻擊並被加密成功,但透過我們當初規劃建置的備份方案,都可以將系統與服務恢復到可運作的狀態。   在面對勒索軟體這樣的老威脅情況下,使用備份軟體提供的離線備份功能,可有效保障備份映像檔不會受到攻擊,且在災難發生時,可迅速掛載/還原備份時間點,確保企業服務不中斷。   在ActiveImage Protector的附屬功能中,Storage Server透過容器的方式,保障備份映像檔不會受到其他程序讀取或修改。 並且環境允許下,可透過增加快取的方式,提高備份速度。  
2024
May
02