• 發布單位:TWCERT/CC
• 更新日期:2022-08-12
• 點閱次數:186

資安廠商 Sophos 旗下的資安研究團隊，日前發表案例報告指出，有某家大型汽車業供應商在本（2022）年 5 月時，在 2 星期內連續遭到 3 次勒贖攻擊，造成其系統遭到入侵，檔案亦遭加密。

Sophos 的報告指出，雖然連續兩次的勒贖攻擊愈來愈常見，但這是該公司第一次發現連續三次不同的駭侵攻擊接連發生，而且都使用同一個資安弱點發動攻擊。

報告說，三次勒贖攻擊分別是 Lockbit、Hive 與 ALPHV/BlackCat，都利用該公司防火牆的一個設定上的錯誤，利用 Remote Desktop Protocol（RDP）入侵該公司內網的網域控制器。

5 月 1 日時，LockBit 和 Hive 分別在該公司內網中，利用合法的 PsExec 和 PDQ 布署工具，來散布其勒贖軟體酬載，並在 2 個小時之內就將十多個該公司內部系統的檔案完成加密；其中 LockBit 還把該公司檔案竊取出來，並上傳到 Mega 雲端檔案分享服務上。

隔 2 星期後，正當該公司的 IT 團隊仍在試圖回復系統時，BlackCat 駭侵者也利用和先前相同的防火牆設定漏洞，利用 RDP 入侵同一套網域控制器，並安裝遠端遙控工具 Atera Agent，接著就在一小時半內利用 PsExec 布署其勒贖酬載，並且利用竊得的登入資訊，將六台電腦中的資料竊走後進行加密。

BlackCat 駭侵者甚至還在完成資料竊取和加密犯行後，刪除 Windows Events Logs，這使得後續的入侵調查與資料復原工作變得更為困難。

Sophos 在報告中也說，由於 Hive 和 Lockbit 的攻擊只相差兩小時，不同的勒贖軟體可能同時在系統中執行，因此某些檔案遭到重覆加密，次數高達 5 次之多。

由於企業遭到駭侵攻擊的次數日漸頻繁，像上例這樣短期間遭不同駭侵者透過同一漏洞連續攻擊的可能性將愈來愈高，因此公私單位應該立即封鎖 VNC 和 RDP 連線，僅使用 VPN 進行連線，並且必須啟用多階段登入驗證。