當前勒索軟體攻擊極盡泛濫之能事,不但全球許多知名企業一一淪為受害者,台灣 10 大企業也深受其害,微軟公司報告更指出,台灣 2021 年遭到勒索軟體攻擊的頻繁程度,位居亞太地區第五名。
週三思科(Cisco)(10 日)對外證實,其內部公司網路於 5 月底遭到「閻羅王」(Yanluowang)勒索軟體駭客團體入侵,事後駭客團體要脅思科支付贖金,否則會在網上公開所竊取的檔案。但思科表示,該公司並沒有因此外洩任何重要機敏資料,駭客竊走的只是 Box 雲端儲存上被劫持員工的非機密資料。
思科發言人表示,入侵事件一發生,該公司立即採取行動,有效扼止並擊退駭客的攻擊。此次事件也未對該公司產品或服務、敏感客戶資料或員工資訊、智財或供應鏈營運等業務造成任何影響。他並且透露,8 月 10 日駭客將這次安全事件外洩的檔案清單公佈在暗網上。+
事實上,「閻羅王」勒索軟體駭客在劫持思科一名員工的個人 Google 帳號(內含該員工瀏覽器同步憑證)後,隨即透過竊取的憑證成功入侵思科內部網路。在經過一連串勸說使用多因素認證(MFA)的疲勞轟炸,以及該駭客團體發動一系列假冒來自受信任支持組織的語音釣魚攻擊(Voice Phishing)後,最終成功說服思科員工接收其中一個 MFA 推播通知,並在目標使用者環境中獲得 VPN 的存取權。
一旦在思科內部公司網路上取得立足點,「閻羅王」勒索軟體駭客便能將「入侵觸角」橫向擴展到思科伺服器與網域控制器中。在獲得網域管理權限後,攻擊者接著使用 ntdsutil、adfind 及 secretsdump 等列舉工具來蒐集更多資訊,並在遭劫持系統上安裝一系列的惡意封包負載,包括後門程式。雖然思科最終擊退了入侵的駭客,但他們仍在最初攻擊事件發生後的好幾週裡多次嘗試發動重新獲得權限的攻擊,所幸這些攻擊皆未得逞。
另一方面,「閻羅王」勒索軟體駭客發送了一份郵件,內含他們在這起攻擊事件中偷到手的檔案目錄清單。該名駭客並宣稱,他們一共竊得包含約 3,100 份檔案共 2.75GB 的資料,這些資料多半是保密協議、轉儲資料庫及工程圖之類的檔案。
看樣子,兩造雙方的說法似乎有點南轅北轍,接下來只能等宣稱有拿到機密資料的「閻羅王」勒索軟體駭客團有什麼上網公開資料的大動作,抑或思科付錢了事的新聞,才能確定事件的真相。
(首圖來源:Cisco)
科技新報粉絲團
加入好友
訂閱免費電子報
