【資安日報】2022年6月28日，勒索軟體LockBit祭出漏洞懸賞計畫、駭客組織利用Exchange漏洞攻擊大樓管理系統

最具威脅的勒索軟體LockBit的動態相當引起研究人員關注，在昨天的資安新聞就有2起攻擊事故，而今天有資安研究團隊發現新的動態，那就是這些駭客在推出新版勒索軟體的同時，竟祭出漏洞懸賞計畫（Bug Bounty），範圍包含了LockBit勒索軟體、該組織網站，以及加密開源加密通訊軟體TOX、洋蔥（Tor）網路等。

駭客藉由去年3月公布的Exchange重大漏洞ProxyLogon，攻擊受害組織的大樓管理系統（BAS），超過半年才有研究人員發現！這些駭客的目標是亞洲的電信業、製造業、運輸業者，但入侵的管道過往可說是相當罕見。

委外廠商對於使用者的資料處理不當，甚至隨意存放在隨身碟，有可能造成資料外洩的疑慮，而且還是發生在做事極為謹慎的日本。最近在日本尼崎市就發生這樣的一起事故，協助比對符合請領補助民眾的IT業者，經手的員工竟將民眾個資存放在隨身碟攜帶在身上，不慎遺失後東窗事發。

【攻擊與威脅】

勒索軟體LockBit推出3.0版，駭客也興起漏洞懸賞專案

為了找尋系統可能存在的漏洞，不少IT廠商祭出漏洞懸賞計畫（Bug Bounty），卻有許多廠商處理相當消極，或是削減研究人員的獎金。但這樣的做法竟被駭客發揚光大，模仿這樣的做法來為惡意程式除錯。

資安研究團隊VX-Underground於6月27日，揭露勒索軟體LockBit的新態勢，駭客不只製作了3.0版LockBit，還同時推出漏洞懸賞計畫而引起資安人員關注。

這些駭客懸賞的範圍也相當廣泛，不只包含勒索軟體的漏洞，還涵蓋了該組織網站，以及開源加密通訊軟體TOX、洋蔥（Tor）網路，獎金從1,000美元起跳。此外，若是有人能找出LockBit組織首腦身分，便能得到百萬美元的獎金。若是日後其他駭客也相繼跟進，強化作案工具，很有可能讓攻守雙方更加不對等。

駭客組織利用後門程式ShadowPad與Exchange漏洞攻擊大樓管理系統

中國駭客使用Exchange Server漏發動攻擊的情況，最近又有事故傳出，而且是針對大樓的管理系統而來。卡巴斯基在去年10月發現不為人知的駭客組織，針對數個亞洲國家的電信業、製造業，以及運輸機構下手，而這些駭客入侵受害組織的方式，竟然是利用微軟Exchange Server的重大漏洞CVE-2021-26855（ProxyLogon），攻擊大樓自動化系統（Building Automation System，BAS），然後在這種管理系統中部署惡意軟體ShadowPad。

研究人員進一步追查後發現，這起攻擊行動始於2021年3月，也就是漏洞ProxyLogon公布的時間點，且駭客使用中文進行溝通，再加上他們使用惡意程式如ShadowsPad、PlugX都是中國駭客常用的工具，很有可能是中國駭客所為。

日本承包商員工隨意將尼崎市46萬民眾個資存放在隨身碟，隨身碟遺失才東窗事發

承包政府機關業務的業者，很有可能接觸到大量民眾個資，一旦保管不慎很有可能有洩露的疑慮，但這樣的事故還是發生在以謹慎著稱的日本。根據日本NHK的報導，日本兵庫縣尼崎市政府為了要發送COVID-19疫情紓困金，委託外部資訊服務廠商Biprogy彙整符合資格的民眾資料，但該市的官員指出，該廠商的員工未經市府同意，竟使用隨身碟存放該市46萬名市民的個資，並於21日工作結束後帶著隨身碟到居酒屋用餐、飲酒，事後發現隨身碟不翼而飛，於22日報案並通知市政府。

尼崎市政府表示，此隨身碟設置了密碼，目前尚未發現資料外洩情事，市府承諾將會加強相關資料管理，並設立電話專線來處理民眾對本次事故的問題。

而負責上述民眾資料彙整的資訊服務公司Biprogy坦承過失並公布事件發生經過，他們的員工確實未經許可就利用隨身碟存放個資，也沒有遵守下班前刪除敏感資料的準則。這個隨身碟後來於24日尋獲，該公司也於26日發布對於此事進行檢討，公布改進措施。

美西銀行的ATM被安裝側錄裝置

駭客不只在網路環境進行交易資料的側錄，也有針對實際環境下手的情況。法國巴黎銀行（BNP Paribas）美國子公司美西銀行於6月23日，向客戶提出警告，指出他們發現駭客在自動櫃員機（ATM）上部署了側錄裝置，可能有用戶的簽帳卡（Debit Card）資料遭竊。該公司最初察覺異狀是在去年11月，他們的資安團隊發現，有數個未經授權的帳號嘗試提款，於是該公司向警方通報，並著手檢查自家ATM的網路，結果發現，駭客已在數臺ATM上安裝了側錄裝置，這些裝置不只會記錄卡號、PIN碼，還有可能會干預簽帳卡的交易。

該公司移除了有問題的ATM並著手調查，並呼籲用戶應時常留意自己戶頭的狀態，並承諾戶頭的存款若是遭到盜領或盜刷，他們將吸收相關損失。