Sophos指出,Ryuk攻擊開始升溫,且手法更加高明,像是不再依賴第三方網路散布,而是經由釣魚郵件散布(上圖為攻擊流程局部示意,圖片來源/Sophos,完整攻擊流程圖:https://news.sophos.com/en-us/2020/10/14/inside-a-new-ryuk-ransomware-attack/)。

法國IT外包商Sopra Steria本周發生網路攻擊事件,兇手可能是惡名昭彰的Ryuk勒索程式。

Sopra Steria本周公告指出,他們於周二(10/20)晚間偵測到IT網路發生網路攻擊,已經採取控制安全風險的措施。該公司的安全團隊正致力於恢復正常運作,同時也和客戶、夥伴及主管機關「保持密切聯繫」。

Sopra Steria並未說明網路攻擊細節,不過法國媒體引述消息人士報導,指稱Sopra Steria遭到勒索軟體Ryuk攻擊。據信攻擊者駭入了這家IT外包商的AD網域,至少加密了「一部份」資訊系統。

Sopra Steria也和英國衛生部及衛服部(NHS)合資成立NHS Business Services,管理NHS 350億英鎊的經費,主要業務為提供IT服務給英國衛生機構、外包商及英國大眾。NHS Business Services是否受到影響目前不得而知。

Ryuk是由一代號為Wizard Spider的俄羅斯駭客組織操控,從2018年起在網路上流傳,經常鎖定大型企業、地方政府及醫療機構,並成為2019年為害最烈的勒索軟體。Ryuk也和最近遭到資安廠商及微軟出手掃蕩的Trickbot有關。

安全公司Sophos指出,在經過2020年短暫歇息後,Ryuk近日又死灰復燃,且手法更加高明,像是不再依賴第三方網路散布,而是經由釣魚郵件散布,且一旦進入用戶電腦,也會蒐集管理員帳密以加速感染內網的重要系統。安全公司數據顯示Ryuk新一波攻擊速度加快,從用戶點入釣魚信件到癱瘓整個系統,只要29小時就能完成。

Ryuk上個月也攻擊全美最大的醫院連鎖UHS,影響亞利桑納州、加州、喬治亞、賓州、佛州等地醫院,至少有一家醫院急診室被迫關閉,並將病患送到別的醫院。

熱門新聞

Advertisement