勒索软体骇客CrazyHunter肆虐,接连对台湾大型企业组织而来的情况,已发生多起,如今攻势并未缓和,甚至发生一口气攻击多家公司的现象。自2月开始这些骇客攻击国内两家大型医院引起外界关注,从3月下旬开始,他们先后针对环保装潢加工板材业者科定、乔山健康科技下手,如今再传新的资安事故。
值得留意的是,这次骇客一起对振曜集团3家公司出手,甚至窜改网页嘲笑国内资安业者TeamT5防护不力。对此杜浦数位安全(TeamT5)澄清此事,表示这些公司并非他们的客户,也没有部署相关防护工具。
【攻击与威胁】
3月31日再度传出CrazyHunter锁定台湾企业犯案,我们在上午发现CrazyHunter勒索攻击规模扩大,振曜集团有3家公司同时遭攻击,而且骇客攻击后依然十分嚣张,我们早上10时检视这些公司的网站时,发现沛亨半导体、东荃科技的网页无法连上,而振曜科技的网站首页遭恶意置换。
根据骇客窜改振曜网站首页的内容显示,攻击者同时向振曜科技(Netronix)、沛亨半导体(Analog Integrations)、东荃科技(Zunidata Systems)这三家公司恐吓,声称加密了受害者所有的系统,并覆写与删除了NAS、VMware、Veeam的备份,以及窃取800 GB的资料,涵盖档案伺服器、CRM、BPM、EIP、ERP的资料,并要胁受害者与他们联系,否则将在24小时后(4月1日晚上8时)外泄首批资料。
另一引发关注的是,CrazyHunter还在上述勒索讯息中,特别嘲讽了台湾资安业者TeamT5,声称这次攻击成功入侵其客户,且资安产品都没有发出警示。对此状况,我们进一步向杜浦数位安全(TeamT5)了解状况,该公司驳斥了这项说法,并表示是无端遭拖下水。TeamT5在31日中午12点发布澄清声明,指出近期CrazyHunter宣称已入侵台湾企业,经他们查证,均非TeamT5的客户,也未部署ThreatSonar Anti-Ransomware端点防护产品。
本周名为GHNA的人士在骇客论坛声称,他手上握有三星德国分公司客服工单系统的资料,并供人下载,并称这批资料包含敏感个人资料如全名、住家地址、电子邮件信箱。
资安业者Hudson Rock分析指出,这批资料是骇客取得的合法用户凭证资料,存取三星使用的德国业者Spectos GmbH的客服系统所得。2021年Spectos公司一名员工用以监控和管理三星客服工单系统服务品质的登入凭证,遭Raccoon Infostealer窃资软体暗中窃走外流,最后流入GHNA手上。研究人员表示,Hudson Rock几年前就曾经发现被窃的三星凭证并警示,不过三星并未及时行动。