吳明宜Accellion檔案傳輸服務去年遭駭 本週出現勒索信找上美、澳、紐國政府單位威脅外洩資料
美國為首的五眼聯盟(美、英、加、澳、紐)結合新加坡,本周公佈聯合安全公告,指駭客正向使用Accellion檔案傳輸裝置(FTA)的企業及政府組織發出勒索信,揚言公佈竊取來的資料。
美國網路安全暨基礎架構管理署(CISA)公告指出,全球的網路行動者正在開採Accellion檔案傳輸裝置漏洞,以攻擊美國多個聯邦、州政府、部落及地區政府組織,以及民間產業,產業涉及醫療、政府、電信、金融及能源領域。受影響的國家涵括澳洲、紐西蘭、新加坡、美國及英國。
這要回溯到Accellion去年底的被駭事件。Accellion檔案傳輸是一款企業和政府用戶可與客戶及合作夥伴安全傳輸檔案的服務,但2020年12月,Accellion揭露該公司的安全檔案傳輸服務FTA的一個零時差攻擊漏洞,攻擊者利用該漏洞從Accellion服務客戶系統竊取資料。今年1月,同一群駭客開採了FTA 4項零時差漏洞(CVE-2021-27101、CVE-2021-27102、CVE-2021-27103和CVE-2021-27104)植入名為DEWMODE的Web Shell,並從受害者FTA裝置上盜取重要資料。安全廠商FireEye旗下的Mandiant將之稱為FIN11。
Accellion指出,Accellion檔案傳輸軟體有300家客戶,有小於100家的客戶遭到存取FTA伺服器而資料外洩,其中25家的客戶「遭受大量資料損失」。
時間來到本周。這25家客戶接到勒索信,威脅他們付贖金,否則就將資料公佈在Clop勒索軟體的網站上。結果也真的被公佈了。
受害者包括美國超市連鎖巨人Kroger、新加坡電信、紐西蘭儲備銀行、澳洲證券投資委員會、澳洲昆士蘭貝格霍菲爾醫學研究中心、以及美國華盛頓州審計官辦公室等。
但是Mandiant指出,這些企業及單位並不是被Clop勒索軟體攻擊加密資料,而是駭客借用Clop勒索軟體網站來公佈他們從FTA伺服器被外洩的資料。
所以可能一共有三組駭客組織牽涉其中。Mandiant將開發勒索軟體Clop的的背後組織稱作UNC2582,向25家企業發出勒索信的駭客組織稱為UNC2546,但認為這兩個組織使用的網路和去年駭入FTA零時差漏洞的FIN11之間有重疊。
針對最新一波勒索軟體攻擊,CISA等單位建議企業暫時切斷或隔離執行FTA軟體的主機,並檢查網路內是否有異常活動。CISA也呼籲企業升級到最新版Accellion FTA軟體FTA.9.12.432以後的版本。
不過Accellion也宣佈其FTA服務將在4月30日來到生命周期終點(EoL),呼籲用戶儘速在此之前轉換成新的軟、韌體及硬體。