如梭世代
」 如梭世代 勒索軟體台灣資安新秀成軍3年 被國際漏洞揭露計畫招為No.1管理者
主要維護通用弱點揭露計畫(Common Vulnerabilities and Exposures, CVE)的國際非營利組織MITRE Corporation,近日授權台灣資安公司ZUSO如梭世代成為CNA(CVE Numbering Authority)編號管理者之一,是目前台灣第1間被認可的資安團隊。目前全球有217個單位組織加入CNA,而如梭世代是台灣第1個申請通過弱點研究者(Vulnerability Researchers)的資訊安全團隊(全球共 43 個單位組織)外,也是亞太地區第5個核可的團隊。通用弱點揭露(Common Vulnerabilities and Exposures, CVE)是專門收集資安弱點,並給予編號的資安資料庫,可以協助全球資安人員查閱現有已知弱點,辨識軟硬體產品的安全弱點,由CNA負責分配弱點編號。長期專注於資安技術研究的如梭世代有10年以上駭客攻擊手法與威脅分析經驗,擁有完善的弱點通報規範與分析弱點的通報能力。特別是在弱點揭露方面,堅持公開透明準則與道德規範,一旦發現未公開的弱點,即與廠商溝通弱點技術細節並預期於90天修補,修補與揭露時程可依情況彈性調整,力求與產品原廠進行技術和良性交流,讓產品弱點有足夠時間執行修復。創辦人洪睿荃指出,公司自成立以來一直深耕於資訊安全技術領域,持續充實資安研究量能,此次成為Vulnerability Researchers類型的CNA夥伴證明如梭的 資安能力備受國際認可。
NFT淘金潮1/賣「青蛙撞奶」3秒影片賺2萬 啾啾鞋卻被駭客騙光
區塊鏈衍生的NFT(非同質化代幣),在2021年從年頭燒到年尾,也吸引駭客前來「淘金」。12月5日,知名Youtuber啾啾鞋先自曝「Metamask錢包資產被駭客盜走」,21日主打猴子頭像的「MonkeyKingdom」也遭駭,耶誕節前夕,遊戲實況平台Twitch旗下加密幣平台Fractal更傳出373名會員遭詐,損失新台幣420萬元。調研機構Chainalysis近日發布報告指出, 2021年NFT市場規模已達269億美元(約新台幣7,532億元)。這也使得NFT社群成了駭客眼中頭號大肥羊。最新的受災戶是遊戲實況平台Twitch聯合創辦人JustinKan(簡彥豪)所創立,原定聖誕節上線的加密幣平台Fractal。12月23日簡彥豪對外證實,近日官方群組遭駭客入侵,並發出釣魚連結引誘社群內會員點入,共計373名會員遭詐,損失約15萬美元(約新台幣420萬元)。簡彥豪說,駭客的釣魚連結在Fractal的Discord社群內共賣出3,294件詐騙NFT,Fractal承諾會賠償遭詐用戶的經濟損失,強調未來任何官方消息將會在Twitter上發布,並加上「#ProofOfJustin」的標籤。Twitch聯合創辦人JustinKan創立的Fractal遭到駭客鎖定,373名會員遭詐。(圖/翻攝自Twitter)另個國際知名NFT項目「MonkeyKingdom」,主打猴子的像素頭像,則是在12月21日證實,與Fractal遭遇雷同,都是被駭客入侵Discord社群,統計財損130餘萬美元(約新台幣3,640萬元)。而知名Youtuber啾啾鞋日前Metamask(小狐狸錢包)裡的加密幣遭盜走,也是因Discord社群成員給的連結。顯然這個月發生的NFT詐騙災情,全與Discord社群有關。什麼是Discord社群?該社群於2015年由Hammer& Chisel公司所創,提供遊戲玩家打遊戲時的語音溝通,因為Discord由大量機器人進行社群分類及管理,符合加密幣的DAO概念(分布式自治組織,decentralizedautonomous organization)核心精神,因此備受幣圈人士重用。Discord成了幣圈及NFT人士取得一手消息的重要社群,尤其是「空投」訊息。空投是什麼?當新的NFT、加密幣項目準備上線前,為要提升產品概念或影響力,發行者會將部分未發行的代幣投到連結項目的錢包中,藉以獎勵及吸引早期參與者,並打響口碑。以啾啾鞋為例,原是知識型直播主今年下半年轉入幣圈領域,11月底搭上NFT熱潮,在NFT平台OpenSea上,成功賣出一段名為「青蛙撞奶(Frogshitting milk)」的3秒影片,價格0.2枚以太幣(約新台幣2.2萬元),買家是台灣小有名氣的駭客張啟元。啾啾鞋說,「影片賣出後就把一半放到派網(Pionex)去質押,賺點利息,剩下的就放在小狐狸錢包(Metamask,線上加密幣錢包)裡」,有天Discord社群裡的成員突然私訊他,指出CoolCat NFT項目準備「空投」了,所以就趕緊把錢包跟該名成員提供的網址進行連接。 啾啾鞋的青蛙撞奶3秒短片以0.2枚以太幣售出,但其中0.1枚以太幣遭駭客以釣魚詐騙轉出。(圖/翻攝自OpenSea、Youtube)「當時已經很晚(半夜),因為多數空投可能都在台灣的凌晨時間,腦袋有點不清楚,沒意識到那個網站跟平常連接的方式不一樣,在填資訊時還把錢包最重要的『助記詞』填進網站中, 幣圈人士在區塊鏈上的加密幣資產,多存放在加密幣錢包,錢包在申請時,會取得由12個隨機排列的單詞形成的助記詞,類似「金融卡密碼」的數位金鑰,為避免助記詞曝光,多數人會手寫紀錄並藏在保險箱,在將錢包綁定在自己瀏覽器的外掛程式後,平日只需輸入密碼,不用再輸入助記詞就可與網站連結。「那時候我以為是太久沒有登入,或者是太久沒有重開機,所以輸入密碼加上助記詞,按確定後回到第一步驟,就知道被騙了!」啾啾鞋還來不及把將加密幣轉移到另外一個錢包,「結果不到3分鐘,剩下的0.1枚以太幣已經被轉移了!」區塊鏈是去中心化,被轉走的加密幣再也追不回。現任職資安公司「如梭世代」的駭客張啟元,也在影片下留言提醒,上述的詐騙手法稱為「釣魚詐騙」;如果瀏覽器不安全,駭客也可能引導被害人輸入惡意語法,從中擷取到錢包內的助記詞,進而將加密幣資產轉移;另個方式,則是假裝網站沒辦法叫出加密幣錢包,要求用戶輸入密碼、助記詞,再從錢包中轉移加密幣資產,「因此在操作加密幣錢包時,務必要多加注意。」NFT資深玩家傑西進一步解釋,啾啾鞋遇到的是碰運氣賺點小錢的詐騙集團,但虛擬貨幣平台Fractal、MonkeyKingdom遇到的就是真正的駭客,騙取更大筆的加密幣,因此玩家要懂得分辨哪些是真投資,還是假投資真詐騙。
勒索軟體猖獗 30資安人串聯組協會抗敵
自新冠肺炎疫情爆發後,國內外不斷傳出企業遭駭情事,總統蔡英文不斷呼籲「資安即國安」,因此國發基金也預計在資安產業投資30億元,因此資安界眾多發起人25日正式成立「台灣資安產業發展協會」,期望資安產業未來能將產官學資源相互整合。由30多位國內眾多優秀資安公司(如安華聯網、盧氪賽忒、三甲科技、安創資訊及資策會資安鑄造廠等)及資安社群(如臺灣校園資訊安全推廣暨駭客培育協會、台灣數位安全聯盟、台灣資訊安全聯合發展協會等。)的創辦人或核心成員共同籌組的「台灣資安產業發展協會」25日正式在台中成立。協會第一任理事長由ZUSO如梭世代創辦人洪睿荃高票當選,副理事長由資策會資安鑄造廠總經理毛敬豪擔任,秘書長則是盧氪賽忒執行長沈家生,洪睿荃致詞時表示,台灣資安產業發展協會將以「深耕台灣,拓展全球」為宗旨,以促進台灣資安產業高速發展為目標。同時也與資安學界合作,進行資安技術的研究與資安人才培育,期許將產官學界的能量相互連結串連,一同引領台灣資安產業於未來成為台灣的第二座護國神山科技立委高虹安指出,資安產業發展協會的成立,代表資安不是過去1種服務或者單一公司而已,已經是條供應鏈,對於科技業、製造業而言,內部製程、資料都是公司最珍貴的資產,因此定期掃描漏洞、更新保護資料已經是必要的成本,而不是等到在暗網看到資料時才去堵漏洞,而我也會在立法院全力支持台灣資安的發展。立法院副院長蔡其昌則說,日前辦公室的硬碟被駭客鎖住還勒索加密幣,報案後警方幫助也相當有限,最後也是資安界的朋友協助才能解鎖,顯示資安的已經是台灣相當重要的產業,我們立法院也會監督政府在資安相關發展政策是否有落實。
QNAP裝置成肉票3/紅隊演練中發現漏洞 專家:VPN可降低勒索機率
本刊調查,資安公司「如梭世代」(ZUSO)去年替企業進行「紅隊演練」(模擬駭客入侵攻擊)時,就無意間發現威聯通NAS疑似有安全問題,研究了兩個月,終於發現產品的「HBS」(Hybrid Backup Sync,一種用戶進行備份、刪除和還原的軟體)內,存在1個漏洞。如梭世代的技術經理Shirley指出,該漏洞不需要任何帳號權限,只要能在網路中接觸設備就可以在主機內執行任意代碼,甚至可以撈到使用者的密碼等,「這個漏洞被『漏洞評分系統CVSS』(Common Vulnerability Scoring System)評為最高級的10.0分。」確定漏洞確實存在後,如梭世代除了在3月17日通知威聯通進行修補,也遵循國際的「負責任披露規則」(ResponsibleDisclosure Policy),在威聯通釋出更新檔後,通報刑事局,希望透過官方管道同步讓國際刑警組織知悉,善盡社會責任。Shirley指出,安全與便利本是一體兩面,在兩者間取得平衡是大家共同努力的目標,「建議用戶除了定期更新外,也可以讓設備減少對外暴露,例如透過VPN(虛擬私人網路)連線內網存取裝置,就可以大幅降低類似事件發生。」香港一名YouTuber出示在NAS儲存的音樂檔案,檔名上的「7z」為Qlocker勒索軟體加密壓縮,「encrypt」則為另一種勒索軟體加密。(圖/黃鵬杰攝)
QNAP裝置成肉票4/獲報後即時攔截 威聯通:將持續積極處理
針對駭客事件,威聯通產品資安黃姓經理表示,接獲如梭世代通報後,4月16日就進行最新版正;Qlocker主要是針對尚未更新最新版HBS的用戶進行攻擊。他強調,威聯通接獲第一起Qlocker入侵通報時,就透過一些功能,讓還沒更新最新版HBS的用戶,避免遭受攻擊;即使用戶已被入侵,也會攔截解密代碼,協助用戶解密檔案。「未來我們會持續推出相關資安工具,並考慮強制加入更新,目前也積極與專門破解勒索加密軟體的國外人士合作,希望盡速替檔案全都被加密的用戶進行解密。」黃姓經理同時呼籲,用戶千萬不要支付贖金,以免助長駭客氣焰。刑事局科技犯罪防制中心主任林建隆表示,台灣的資安公司與技術人員深具實力,屢屢發現重大資安漏洞,「這次如梭世代主動將找到的重大漏洞,回報給廠商團隊,非常值得鼓勵,否則波及的設備及勒索金額,恐怕會遠遠超過目前的情況。」321備份原則 防駭客對於駭客而言,沒有不能入侵的OS(Operating System,作業系統),也不存在完全沒有漏洞的軟體,因此對使用者而言,平常須做好備援動作,許多資安專家都建議採取「321備份原則」。「321備份原則」就是要有3個備份,其中2個是不同儲存方式的「本地備份」,例如存在NAS、雲端或電腦硬碟;另外一個則採用「異地備份」,例如透過外接式硬碟存取資料。此舉可以避免駭客以單一手法,入侵所有備份檔,如此就能保存重要檔案。
誰有本事不給錢2/仁寶嚇傻急還原系統錯失緝凶良機 認栽支付千萬贖金
資安專家阿哲(化名)證實仁寶遭到駭客攻擊,「事發後,仁寶以備份系統還原後,就查不出DoppelPaymer最初的入侵手法及潛伏時間。」「聽說DoppelPaymer提供的錢包已入帳28枚比特幣(約新台幣1,400萬元),就在仁寶被駭後1周。」阿哲等資安界人士多認為,仁寶遭駭的「損害相當嚴重」,不過,仁寶副總經理呂清雄表示:「公司確實遭駭客攻擊,但並非遭勒索軟體入侵;影響範圍僅限辦公自動化系統(OA),對產能並沒有影響。」根據美國資安研究團隊「CrowdStrike」調查,DoppelPaymer使用的同名勒索軟體,是去年四處作亂的「BitPaymer」的變種。DoppelPaymer先是勒索墨西哥及智利等石油公司,接著攻擊美國精密零件製造商「VisserPrecision」;由於Visser Precision拒付贖金,結果慘遭「撕票」,導致電動車大廠「特斯拉」及客機製造商「波音」這兩大客戶的部分機密文件遭曝光。此外,美國賓夕法尼亞州的德瓦拉郡政府,也遭到DoppelPaymer攻擊,最後支付28枚比特幣(約新台幣1400萬元)贖金解圍。DoppelPaymer提供給仁寶的比特幣錢包地址,曾被存入28枚比特幣(約50萬美元)。(圖/讀者提供)為何駭客要求企業支付贖金的方式,不是銀行轉帳或刷卡,而是使用加密貨幣?資安公司「如梭世代」技術長何宜霖解釋,加密貨幣除了轉帳手續費較低,由於使用區塊鏈技術,僅需透過私鑰和公鑰發送,儘管所有用戶都能讀取交易總帳(包括交易金額與錢包地址),但用戶可匿名,連政府機關也難以追查其真實身分,因此犯罪者偏好以此交易。對此,各國已開始制定加密貨幣法規,不少犯罪者轉而透過多個私人虛擬錢包進行資金分配,再以場外交易換取資金。加密貨幣淪為洗錢管道。(圖/報系資料庫)
Garmin被綁4/Wasted Locker 5月才被發現 專家:水坑式攻擊法
勒索軟體Wasted Locker到底如何入侵企業內網?國內知名資安公司「安碁資訊」技術副總黃瓊瑩表示,「今年5月,英國資安研究公司NCC Group最早發現Wasted Locker,濫用這個勒索軟體的正是俄羅斯駭客集團EvilCorp。攻擊的初期,駭客會先隱匿起來,等到摸清楚企業內網架構後,再以滲透測試工具搭配電腦內建工具,竊取帳密、提升權限,甚至翻透企業財報、營收,再評估贖金上限,接著列出(勒索軟體)爆發的排程。」以專精攻擊手法及威脅分析聞名的新創資安公司「如梭世代」技術長Leo則說,「Wasted Locker的入侵模式就是『水坑式攻擊法』,先分析目標企業員工瀏覽網頁的習慣,再將惡意代碼植入合法網站布下陷阱,當目標企業員工瀏覽到該網站,駭客就會像獅子咬住獵物不鬆口,進而滲透企業內網。」據悉,企業除非建置備份資料庫,且藏得相當隱密,否則無法防範「水坑式攻擊法」,一旦被綁架,不是付贖金,就是捨棄資料。事實上,早在五月間,包括中油、台塑和多家醫院、半導體大廠等都曾遭勒索軟體鎖定,受害企業擔心影響商譽及客戶信任度,大多低調處理。根據美國微軟六月底發布的資安威脅報告,台灣企業遭到勒索軟體的攻擊頻率,是亞太地區其他國家的二點五倍,也高於全球一點五倍,部分公司最後選擇妥協,支付數百萬元甚至上千萬元換取「自由身」。據查,Wasted Locker背後是俄國駭客組織Evil Corp,其首腦Maksim Yakubets已被FBI通緝。
Garmin被綁5/如何避免勒索軟體 專家:人才是重點
「基本上不建議被害者付贖金!」黃瓊瑩強調,「因為不清楚駭客是否守信用?會不會給予解密工具?有些勒索軟體根本沒有留下支付贖金訊息,純粹就是要破壞;再者,付贖金會助長駭客組織氣焰,美國就禁止被勒索的政府機關及企業,支付駭客贖金。」一位不願具名的資安專家指出,「是否付贖金還要判斷是哪種勒索軟體。以Evil Corp為例,他們的目的就是勒索,會針對目標企業『客製化』勒索軟體,若企業付出贖金後沒取得解密工具,就再也不會有企業付贖金;甚至有駭客組織收到贖金後,還附送其他未被發現的企業內網漏洞。」至於要如何防堵勒索軟體,黃瓊瑩及Leo都建議,「企業要檢視系統備份的頻率,遵循『三二一原則』來備份檔案,就是以二種不同格式建立三個備份,並在異地儲存另一個備份,重要資料也要以加密方式處理。」不過,台灣企業的資安觀念薄弱,令資安專家相當氣餒。對許多企業而言,備份資料或聘請資安團隊,都是額外費用,因而多將資安工作交給資訊科技部門(IT)管理,這就像人資兼任會計及財務,毫無專業可言。「這樣的做法是錯的,在萬物皆聯網的時代,資安已經是企業經營的風險之一。」黃瓊瑩強調。Leo表示,攻擊電腦的是人,資安維護的也是人,在攻擊手法不斷更新的時代,人員也必須與時俱進,並建立發生資安事件時的應對SOP,才能把損害程度降到最低。Wasted Locker在受害電腦裡留下聯繫方式,表示如果要贖回資料就來信,討論善後方法及價金。