吳明宜Accellion 檔案傳輸服務去年遭駭 本週出現勒索信找上美、澳、紐國政府單位威脅外洩資料
美國為首的五眼聯盟(美、英、加、澳、紐)結合新加坡,本周公佈聯合安全公告,指駭客正向使用 Accellion 檔案傳輸裝置 (FTA)的企業及政府組織發出勒索信,揚言公佈竊取來的資料。
美國網路安全暨基礎架構管理署 (CISA) 公告指出,全球的網路行動者正在開採 Accellion 檔案傳輸裝置漏洞,以攻擊美國多個聯邦、州政府、部落及地區政府組織,以及民間產業,產業涉及醫療、政府、電信、金融及能源領域。受影響的國家涵括澳洲、紐西蘭、新加坡、美國及英國。
這要回溯到 Accellion 去年底的被駭事件。Accellion 檔案傳輸是一款企業和政府用戶可與客戶及合作夥伴安全傳輸檔案的服務,但 2020 年 12 月,Accellion 揭露該公司的安全檔案傳輸服務 FTA 的一個零時差攻擊漏洞,攻擊者利用該漏洞從 Accellion 服務客戶系統竊取資料。今年 1 月,同一群駭客開採了 FTA 4 項零時差漏洞(CVE-2021-27101、CVE-2021-27102、CVE-2021-27103 和 CVE-2021-27104)植入名為 DEWMODE 的 Web Shell,並從受害者 FTA 裝置上盜取重要資料。安全廠商 FireEye 旗下的 Mandiant 將之稱為 FIN11。
Accellion 指出,Accellion 檔案傳輸軟體有 300 家客戶,有小於 100 家的客戶遭到存取 FTA 伺服器而資料外洩,其中 25 家的客戶「遭受大量資料損失」。
時間來到本周。這 25 家客戶接到勒索信,威脅他們付贖金,否則就將資料公佈在 Clop 勒索軟體的網站上。結果也真的被公佈了。
受害者包括美國超市連鎖巨人 Kroger、新加坡電信、紐西蘭儲備銀行、澳洲證券投資委員會、澳洲昆士蘭貝格霍菲爾醫學研究中心、以及美國華盛頓州審計官辦公室等。
但是 Mandiant 指出,這些企業及單位並不是被 Clop 勒索軟體攻擊加密資料,而是駭客借用 Clop 勒索軟體網站來公佈他們從 FTA 伺服器被外洩的資料。
所以可能一共有三組駭客組織牽涉其中。Mandiant 將開發勒索軟體 Clop 的的背後組織稱作 UNC2582,向 25 家企業發出勒索信的駭客組織稱為 UNC2546,但認為這兩個組織使用的網路和去年駭入 FTA 零時差漏洞的 FIN11 之間有重疊。
針對最新一波勒索軟體攻擊,CISA 等單位建議企業暫時切斷或隔離執行 FTA 軟體的主機,並檢查網路內是否有異常活動。CISA 也呼籲企業升級到最新版 Accellion FTA 軟體 FTA.9.12.432 以後的版本。
不過 Accellion 也宣佈其 FTA 服務將在 4 月 30 日來到生命周期終點 (EoL),呼籲用戶儘速在此之前轉換成新的軟、韌體及硬體。