01
美杜莎勒索组织发布针对
丰田汽车的勒索公告
美杜莎发布针对丰田汽车的勒索公告
11月16日,美杜莎(medusa)勒索组织发布勒索公告,声称对丰田金融服务公司(TFS)成功发起勒索攻击并窃取了数据,丰田金融服务公司是丰田汽车旗下提供汽车贷款服务的子公司,该公司覆盖了丰田汽车90%的销售业务,美杜莎勒索组织要求丰田集团10天内支付800万美金(约合5770万人民币)。
丰田汽车在媒体问询时承认“丰田欧洲和非洲金融服务公司发现了未经授权的访问,受影响的系统已下线,丰田汽车已与执法机构合作开展事件调查,本次事件影响范围仅限于丰田金融的欧洲和非洲地区。”
02
丰田汽车2年内遭受3次
勒索攻击事件影响
本次丰田汽车遭受勒索攻击事件影响并非个例,2年来丰田汽车相关企业3次遭受勒索攻击,给企业声誉和生产供应造成了恶劣影响。
2022年2月,丰田汽车供应商小岛冲压工业(Kojima Press Industry)遭遇勒索攻击,小岛冲压工业主要生产汽车电子元件和塑料零件,该事件导致丰田汽车在日本的14家工厂全部停产,直接影响了1.3万辆汽车的生产交付。
2022年3月,潘多拉(Pandora)勒索组织发布勒索公告,声称对日本电装公司(Denso)成功发起勒索攻击,日本电装公司是丰田汽车旗下,全球汽车零部件的顶级供应商,在超过30个国家和地区拥有170余家子公司,潘多拉勒索组织加密并窃取了日本电装公司德采购订单、电子邮件、设计图纸等超过15.7万件,总计1.4TB的机密数据。
03
美国思杰设备漏洞已引发多起
勒索攻击事件
英国安全研究员Kevin Beaumont表示,本次丰田金融服务公司遭勒索攻击,同工商银行工银金融公司、美国军工巨头波音公司(Boeing)、迪拜环球港务集团(DP World)遭LockBit勒索攻击一样,均由美国思杰公司“Citrix Bleed”漏洞(编号CVE-2023-4966)引发,该漏洞风险等级为严重,漏洞评分为9.4,该漏洞允许黑客绕过Citrix NetScaler ADC/Gateway的身份验证机制,为攻击者提供具有完全交互权限的远程桌面。
由于各大勒索组织均已在利用Citrix Bleed漏洞发起勒索攻击,11月21日,美国网络安全和基础设施安全局(CISA)发布了编号为AA23-325A的安全预警报告,该报告提供了漏洞影响范围、漏洞利用细节、IOC指标、MITRE ATT&CK技战术映射等内容,用于指导漏洞利用检测发现以及缓解漏洞攻击带来的严重后果。
注:美国网络安全和基础设施安全局(CISA)发布的AA23-325A安全预警报告获取方式见文末说明。
04
丰田金融敏感数据已遭
美杜莎勒索组织窃取
美杜莎勒索组织已经窃取了丰田金融服务公司财务文件、电子表格、采购发票、合同协议、账号及密码、护照扫描件、组织结构图、财务绩效报告和电子邮件地址等大量的机密信息。
美杜莎发布丰田汽车遭窃取数据的展示视频
美杜莎勒索组织甚至对窃取的数据录制了视频,并逐一展示了窃取数据的真实性,如果丰田汽车拒不支付赎金,这些机密数据将在互联网全面公开,而这些涉及账号密码、电子邮件、合同协议、身份证件等敏感信息的公开,可能会招致大规模社会工程学攻击,进而导致更为严重的攻击事件发生,这就使得丰田汽车可能陷入到,被勒索攻击→数据遭窃取→更易遭受勒索攻击的恶性循环中,丰田汽车2年内遭受3次勒索攻击影响,极可能就是这种恶性循环的现实案例。
05
美杜莎是全球勒索攻击
的主要发起者之一
美杜莎勒索组织最早出现于2019年,其命名参考了古希腊神话人物,如同神话人物美杜莎会将人变成石头,美杜莎勒索软件也会将数字资产“凝固冻结”,美杜莎勒索组织同LockBit一样,采取勒索软件即服务(RaaS)的模式运营,与分布在全球各处的附属公司合作,使得攻击和影响范围更为广泛。
根据威胁情报公司DarkFeed统计,近两年来,美杜莎勒索组织公开了163起勒索攻击,在全球知名勒索组织中排名第7位,是全球勒索攻击的主要发起者之一。
注:部分安全研究者将Medusa Blog与Medusa Locker视为不同的勒索组织,本文参照美国国土安全部做法将两者合并统计。
威胁情报公司SOCRadar监测显示,美杜莎勒索组织的受害者中,以美国、英国、加拿大、印度、土耳其、澳大利亚为主,这些国家遭攻击比例超过60%,行业方面以制造、教育、专业服务、金融保险、卫生健康为主。
美杜莎勒索组织惯用高危漏洞获取系统权限,并通过远程桌面协议(RDP)和网络钓鱼访问用户系统,一旦入侵成功,美杜莎勒索组织将会使用PowerShell执行命令,关闭系统中的安全防护机制,并擦除卷影副本备份以防止数据恢复;美杜莎勒索组织运用了复杂的技战术组合手段发起攻击,这使得针对美杜莎勒索软件的检测发现较为困难。
注:本文已将包括美国联邦调查局FBI以及众多专业机构,针对美杜莎勒索组织及勒索软件的分析报告汇总,获取方式见文末说明。
06
主流杀毒软件对美杜莎的
检出率不足50%
基于国内某知名威胁情报平台,使用包括微软(MSE)、卡巴斯基(Kaspersky)、360(Qihoo 360)、瑞星(Rising)、ClamAV在内的25款知名杀毒软件,对美杜莎25个勒索软件样本进行检测,发现最低的检出率仅为1/25,最高的检出率为17/25,综合检出率结果进行统计,25款知名杀毒软件对美杜莎勒索软件的平均检出率仅为49.33%。
但真正的问题是,本次测试的勒索病毒已肆虐多年,上述最低检出率的样本发现时间是2022年1月份,经过如此漫长时间,仍然无法有效检测出病毒的原因,不能归结于安全厂商的不作为,真正的原因是特征码比对机制决定着,病毒特征库不可能无限膨胀,出于性能考虑,杀毒软件只会集成部分已知病毒特征库,而这就决定着,“已知病毒”这个球门,杀毒软件也可能会失守。
07
威努特建议各行业用户部署
专用防勒索系统
主流杀毒软件采用特征码进行威胁检测和发现,由于勒索软件能带来巨大的经济收益,勒索组织倾向于构建勒索软件变种或新型勒索软件,并辅以加壳、混淆等技术手段绕过杀毒软件,这就导致传统以特征为主的防病毒产品,对于勒索软件的防护能力极为有限,接下来,我们以专用防勒索系统对美杜莎勒索软件样本进行防护测试。
7.1 无防护软件时全盘数据被加密锁定
无安全防护软件或采用传统特征比对技术的杀毒软件时,美杜莎勒索软件将直接对全盘数据进行加密,全盘数据文件被添加后缀,无法正常打开和使用。
7.2 美杜莎勒索软件卷影删除行为拦截
勒索软件会采用多种方式破坏系统资源,以寻求成功实施勒索的确定性,恶意行为包括MBR加密、操作系统锁定、系统卷影备份删除等,美杜莎勒索软件同样具有这些恶意行为。
威努特主机防勒索系统通过对系统资源的保护,能够避免美杜莎勒索软件对系统资源的破坏,保护卷影备份不被删除,确保用户系统的数据恢复能力。
7.3 美杜莎勒索软件文件加密行为检测
美杜莎勒索软件会对系统中的文件进行无差别的加密,进而锁定用户数据文件要挟赎金,威努特主机防勒索通过生成带“陷阱”的诱饵文件,通过监测诱饵文件状态,可以发现诱饵文件的异动,进而可以识别勒索软件,阻断其运行避免用户数据损失。
7.4 美杜莎勒索软件诱饵绕过行为检测
随着攻防对抗的升级,最新美杜莎勒索软件已具备诱饵技术绕过能力,通过跳过特定目录实现诱饵技术绕过,威努特主机防勒索创新应用动态诱捕技术,实时监测操作系统文件遍历的函数接口,任何文件遍历均会动态生成多种格式的仿真文件返回给相关进程,如发现批量加密写入等行为,可判断为恶意进程进行拦截阻断,动态诱捕技术与路径、目录无关,不可被绕过,任何勒索病毒的文件遍历加密行为均能被检测。
7.5 美杜莎勒索软件数据篡改行为拦截
美杜莎勒索软件加密数据文件时,会写入随机数据破坏文件的结构和内容,也会在文件名添加后缀以及修改文件属性,这些行为本质上都属于文件篡改行为,文件一旦被篡改成功,用户将永远失去对数据的访问权。
威努特主机防勒索通过建立系统中可信应用与数据的访问关系模型,阻断勒索病毒对应用数据的读写删改,保护系统中文档、数据库、工程文件、音频、图像、视频、配置文件免遭勒索软件恶意加密。
7.6 威努特防勒索对美杜莎勒索软件
100%拦截
通过对美杜莎勒索组织的25个勒索软件样本的实战测试,威努特主机防勒索系统实现了全部25个勒索软件的检测发现,实现了美杜莎勒索软件100%的检出率和拦截率。
08
威努特主机防勒索
专防专治勒索软件
如同丰田汽车2年内遭受3次勒索攻击事件影响,勒索软件将会长期伴随信息世界的发展,给各行业用户带来巨大的声誉和经济损失,全球知名的杀毒软件对美杜莎勒索软件的检出率不足50%,传统技术手段已无法阻止勒索软件对信息世界的破坏,我们急切需要能够切实有效解决勒索软件问题的安全产品。
威努特主机防勒索系统创新应用多项勒索行为检测技术,可对全球范围内各类已知、新型勒索软件有效检测和防范,自威努特主机防勒索系统发布以来,各类新型勒索软件,无论是LockBit3.0、Darkside、tellyouthepass、Devos、Mallox、Phobos、Money Message,还是本次的美杜莎(medusa)勒索软件,无一例外,均能有效防范。
威努特主机防勒索系统是专防专治勒索软件的终端安全产品,产品深度结合操作系统内核驱动,以勒索行为监测、勒索软件诱捕、系统资源保护、关键业务保护、核心数据保护、数据智能备份等多项创新技术,精准识别勒索软件、保护系统资源不被破坏、保护业务应用免遭中断、保护业务数据不被篡改、备份业务数据并恢复,实现事前预防、事中检测/阻断、事后恢复的勒索软件综合防范。
注:关注本公众号“威努特工控安全”,在对话框中回复“美杜莎”获取美国网络安全和基础设施安全局(CISA)发布的AA23-325A安全预警报告、美国联邦调查局FBI及众多专业机构针对美杜莎勒索组织分析报告、25个美杜莎勒索软件样本(MD5)。
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施安全为己任,致力成为建设网络强国的中坚力量!
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
原文始发于微信公众号(威努特工控安全):丰田汽车遭勒索攻击事件分析【附下载】