【精選威脅情資 #2】針對健康醫療產業與公共衛生部門的勒索軟體行動

‍

奧義智慧團隊長期追蹤國內外資安事件、各種駭侵樣態，並彙整解析全球網路威脅情資來源，提供客戶高品質情資報告。我們將每個月精選出二至三篇情資，整理成部落格與大家分享，有興趣的話歡迎從奧義智慧 Facebook 粉絲專頁追蹤最新消息！

追蹤奧義智慧，隨時掌握最新資安動向

情資描述

2020 年 10 月 29 日，一份由美國網絡安全和基礎建設安全局 (Cybersecurity and Infrastructure Security Agency, CISA)、聯邦調查局 (Federal Bureau of Investigation, FBI) 和衛生與公共服務部 (Department of Health and Human Services, HHS) 共同撰寫的網路安全諮詢報告發布。

該諮詢報告描述了針對健康醫療與公共衛生部門 (Public Health Sector, HPH) 的網路犯罪，以及相關網路犯罪所利用的戰術、技術與程序（Tactic, Techniques, and Procedures，縮寫 TTP）。

受到攻擊的目標 HPH 系統，大多被名為 Trickbot 的惡意程式感染，並因此致使資料外洩、醫療服務被中斷，或受到 Ryuk 勒索軟體的攻擊。

TTP

Ryuk 勒索軟體最早出現在 2018 年 8 月，衍生自 Hermes 2.1 勒索軟體但 Ryuk 移除並取代了 Hermes 的部分功能，例如解除對歐亞地區特定系統發動攻擊的限制。

Ryuk 攻擊者常利用現成的商業化產品或工具，如 Cobalt Strike 和 PowerShell Empire，並用以竊取憑證，並且因使用已排程 Task 和創造服務方式潛伏在受害系統的環境中而聞名。此外，Ryuk 背後的攻擊者利用離地攻擊並盡可能地使用本機內建工具，如 net view、net computers、ping 來定位對應的網路共享、網域控制器、AD 目錄等。

一旦啟動，Ryuk 利用 AES-256 加密檔案、並以 RSA 公鑰加密 AES 金鑰。Ryuk 會丟出一個 .bat 檔案、試圖刪除電腦中所有的備份檔案與 Volume Shadow Copies，以避免受害者在沒有解密程式的情況下還原被加密的檔案。

‍

入侵指標 (IOCs)

Hashes

cb0c1248d3899358a375888bb4e8f3fe
3266352bea7513ac3ead6e7d68661ad3
3925ae7df3328773be923f74d70555e3
40492c178079e65dfd5449bf899413b6
5f7dd3740a3a4ea74e2ee234f6de26aa
d7697d0d692bd883e53036b906108d56
db2766c6f43c25951cdd38304d328dc1
fca20e17ce8c0c3f3c78d82c953472ed

‍

URLs

hxxp://practicedomain.com/rowan/fight%20program/fight/fight/Debug/fight.exe.intermediate.manifest
hxxp://practicedomain.com/rowan/fight%20program/fight1/fight1/Debug/fight1.exe.intermediate.manifest
hxxp://practicedomain.com/rowan/fight%20program/fight2/fight2/Debug/fight2.exe.intermediate.manifest

參考資料

1. Ransomware Activity Targeting Healthcare and Public Health Sector
2. MVISION Insights: Ryuk Ransomware Attack Rush to Attribution Misses the Point