【精選威脅情資 #2】針對健康醫療產業與公共衛生部門的勒索軟體行動

針對健康醫療產業與公共衛生部門的勒索軟體行動

奧義智慧團隊長期追蹤國內外資安事件、各種駭侵樣態,並彙整解析全球網路威脅情資來源,提供客戶高品質情資報告。我們將每個月精選出二至三篇情資,整理成部落格與大家分享,有興趣的話歡迎從奧義智慧 Facebook 粉絲專頁追蹤最新消息!

追蹤奧義智慧,隨時掌握最新資安動向

情資描述

2020 年 10 月 29 日,一份由美國網絡安全和基礎建設安全局 (Cybersecurity and Infrastructure Security Agency, CISA)、聯邦調查局 (Federal Bureau of Investigation, FBI) 和衛生與公共服務部 (Department of Health and Human Services, HHS) 共同撰寫的網路安全諮詢報告發布。

該諮詢報告描述了針對健康醫療與公共衛生部門 (Public Health Sector, HPH) 的網路犯罪,以及相關網路犯罪所利用的戰術、技術與程序(Tactic, Techniques, and Procedures,縮寫 TTP)。

受到攻擊的目標 HPH 系統,大多被名為 Trickbot 的惡意程式感染,並因此致使資料外洩、醫療服務被中斷,或受到 Ryuk 勒索軟體的攻擊。


TTP

Ryuk 勒索軟體最早出現在 2018 年 8 月,衍生自 Hermes 2.1 勒索軟體但 Ryuk 移除並取代了 Hermes 的部分功能,例如解除對歐亞地區特定系統發動攻擊的限制。

Ryuk 攻擊者常利用現成的商業化產品或工具,如 Cobalt StrikePowerShell Empire,並用以竊取憑證,並且因使用已排程 Task創造服務方式潛伏在受害系統的環境中而聞名。此外,Ryuk 背後的攻擊者利用離地攻擊並盡可能地使用本機內建工具,如 net view、net computers、ping 來定位對應的網路共享、網域控制器、AD 目錄等。

一旦啟動,Ryuk 利用 AES-256 加密檔案、並以 RSA 公鑰加密 AES 金鑰。Ryuk 會丟出一個 .bat 檔案、試圖刪除電腦中所有的備份檔案Volume Shadow Copies,以避免受害者在沒有解密程式的情況下還原被加密的檔案。

入侵指標 (IOCs)
Hashes

cb0c1248d3899358a375888bb4e8f3fe
3266352bea7513ac3ead6e7d68661ad3
3925ae7df3328773be923f74d70555e3
40492c178079e65dfd5449bf899413b6
5f7dd3740a3a4ea74e2ee234f6de26aa
d7697d0d692bd883e53036b906108d56
db2766c6f43c25951cdd38304d328dc1
fca20e17ce8c0c3f3c78d82c953472ed

URLs

hxxp://practicedomain.com/rowan/fight%20program/fight/fight/Debug/fight.exe.intermediate.manifest
hxxp://practicedomain.com/rowan/fight%20program/fight1/fight1/Debug/fight1.exe.intermediate.manifest
hxxp://practicedomain.com/rowan/fight%20program/fight2/fight2/Debug/fight2.exe.intermediate.manifest


參考資料
  1. Ransomware Activity Targeting Healthcare and Public Health Sector
  2. MVISION Insights: Ryuk Ransomware Attack Rush to Attribution Misses the Point

Writer: CyCraft

關於 CyCraft

奧義智慧科技(CyCraft Technology)是一家專注於 AI 自動化技術的資安科技公司,成立於2017年。總部設於台灣,在日本和新加坡均設有子公司。為亞太地區的政府機關、警政國防、銀行和高科技製造產業提供專業資安服務。獲得華威國際集團(The CID Group)和淡馬錫控股旗下蘭亭投資(Pavilion Capital)的強力支持,並獲得國際頂尖研究機構 Gartner、IDC、Frost & Sullivan 的多項認可,以及海內外大獎的多次肯定。同時也是多個跨國資安組織和台灣資安社群的成員和合作夥伴,長年致力於資安產業的發展。

訂閱奧義智慧電子報

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
點擊此按鈕,即表示您同意奧義智慧的隱私權政策,並同意奧義智慧使用您所提供的資訊並寄送資訊給您。您隨時可以取消訂閱。