一文拆解|數碼港資料外洩原因 私隱公署:未能有效偵測黑客暴力攻擊資訊系統 Trigona勒索軟體到底有多強?

數碼港資料外洩

近日香港數碼港遭受嚴重的勒索軟體攻擊,攻擊者以436GB的數據作為贖金要求,引起了廣泛關注。這次攻擊的背後是一個稱為Trigona的勒索軟體組織,他們要求支付30萬美元的贖金,否則將公開從數碼港竊取的數據。最後「人質」被「撕票」,數據完全公開。

掌握最新加密市場動態與 AI (ChatGPT)新聞與資訊,請即追蹤 CFTime Facebook 及 Instgram

數碼港是香港著名的數碼和科技企業聚集地,也是創業者的理想場所。該港區擁有超過1,900家成員企業,其中800間設在香港,另外1,100間設在其他地區。數碼港的所有權歸香港特區政府所有。

想提升網絡安全?UD 提供最新及實用的網絡安全解決方案。立即瀏覽,保護您的數據安全

根據Trigona組織的聲明,他們成功對數碼港發動了勒索軟體攻擊,並且在黑暗網絡上公開了一些從受害者系統中竊取的數據樣本。這些樣本包括文件、身份證和用戶圖像等數據。Trigona組織在其網站上發布了這些樣本的截圖,並要求在23天14小時內支付贖金。

數碼港資料外洩原兇 — Trigona

Trigona組織自2022年以來一直活躍,對一些具有強大網絡安全防護的知名組織進行攻擊。他們的攻擊手法和高級工具顯示出他們在入侵系統方面的專業能力。

根據樣本截圖顯示,Trigona組織從數碼港竊取的數據包括208.50GB的項目檔案、86.30GB的人力資源相關數據、125.01GB的財務數據、2.56GB的FinTechTeam數據以及15.75GB的租賃信息。總共有436GB的數據被扣為人質。

Trigona勒索軟體是一個相對新的勒索軟體家族,其活動始於2022年10月底,儘管其樣本早在2022年6月就已存在。自那時以來,Trigona的操作者一直非常活躍,並且不斷更新他們的勒索軟體二進制檔案。到2023年4月,Trigona開始通過暴力破解方法竊取MSSQL伺服器的憑證。

Trigona背後的威脅行為者據稱是CryLock勒索軟體背後的同一組織,這是因為它們在工具、戰術和程序(TTP)方面存在相似之處。它也與ALPHV組織(也稱為BlackCat)有關聯,但認為Trigona和BlackCat勒索軟體之間的任何相似之處都只是巧合(一種可能性是ALPHV與部署Trigona的威脅行為者合作,但實際上並未參與其開發和運營)。

Trigona 目標國家和行業

根據趨勢科技™智能保護網絡™的數據,美國和印度是Trigona勒索軟體檢測數量最多的國家,以色列、土耳其、巴西和意大利也有相當多的檢測數量。

與此同時,攻擊主要集中在科技和醫療行業,這兩個行業的檢測數量最多。根據Arete的報告,Trigona利用ManageEngine漏洞CVE-2021-40539進行初始訪問。此外,威脅行為者還使用先前被入侵的帳戶,通過從網絡訪問代理獲取訪問權限。

它使用各種工具進行橫向移動,包括Splashtop(一個合法的遠程訪問工具),用於在受感染的計算機上放置其他工具。

Trigona會放置一個名為turnoff.bat(檢測為Trojan.BAT.TASKILL.AE)的檔案來終止與防病毒相關的服務和進程。它還使用Network Scanner和Advanced Port Scanner來識別網絡連接。

根據AhnLab的分析,Trigona的操作者在針對MS-SQL伺服器的攻擊中使用CLR shell。這個工具可以執行多個命令,包括一個用於特權升級(nt.exe)的命令。

Trigona使用AES加密對受感染的計算機中的檔案進行加密。此外,勒索軟體在其資源部分包含一個加密的配置,該配置在執行時被解密。然而,它只會使用配置中的某些字符串。

如何防範Trigona攻擊?

  1. 啟用多重身份驗證(MFA):這可以阻止攻擊者在網絡內部移動並訪問敏感信息。
  2. 遵循3-2-1備份規則:重要文件的備份應遵循3-2-1的原則,即生成三個備份副本,存儲在兩種不同的文件格式中,其中一個副本存儲在不同的位置。這樣可以確保冗余性並減少數據丟失的風險。
  3. 定期更新和修補系統:保持應用程序和操作系統的最新狀態非常重要,建立健全的修補管理協議,以防止惡意攻擊者利用軟體漏洞。

請注意,這些預防措施是通用的安全建議,可幫助保護免受各種威脅,包括Trigona勒索軟體。 此外,建議根據特定情況和需求,諮詢專業的資訊安全專家以獲得更具體的建議。

疑事件導致數碼港CEO不獲續任

資料外洩過後,數碼港早前委託顧問公司刊登廣告,招聘行政總裁一職。數碼港證實現任行政總裁任景信將於明年4月完成任期後不再續聘,並正在全球範圍內按照既定程序進行招聘。

數碼港委託的顧問公司已於前日開始在招聘網站cpjobs上刊登招聘廣告,要求應徵者擁有至少15年在相當規模的公營或私營機構的管理經驗,尤其是與資訊科技部門有關的經驗者優先考慮。此外,應徵者需要具備商業和政治敏銳度,並精通兩文三語等技能。

數碼港表示,任景信在2018年4月上任以來,帶領數碼港蓬勃發展。社群企業數量增加了一倍,超過2000家,獨角獸企業也增加到了7家。此外,還誕生了兩家上市企業、兩家持牌虛擬銀行和三家持牌虛擬保險機構。數碼港並未明確回應任景信不再續聘的原因是否與資料外泄事件有關。

數碼港的董事兼立法會議員劉國勳接受《明報》訪問時表示,任景信任內發生資料外泄事件令人遺憾,雖然他並不揣測離任是否與事件有關,但認為管理層在應對這一事件上還有改善的空間。

劉國勳在接受訪問時表示,他認同數碼港管理層在應對黑客事件方面有改進的空間,包括更早地通知受影響者。他期望未來的行政總裁能夠吸取教訓,加強危機處理能力。此外,他還指出,數碼港內有許多企業提供數碼安全服務方案,他希望能夠更多地推廣和應用這些方案。

私隱公署調查:未能有效偵測黑客暴力攻擊資訊系統

今年4月,私隱專員公署進行了一項調查,結果顯示數碼港在保障其資訊系統安全方面未能採取足夠和有效的措施。調查報告指出,數碼港未能及時刪除已屆保存期限的資料,也未能確保涉事個人資料不受未獲准許或意外的查閱和處理。此外,數碼港在資訊系統的保安審計方面存在不足,未能適時應對資訊科技變化和網絡安全風險。

調查發現,數碼港的資訊系統缺乏有效的偵測措施,令黑客能夠以暴力攻擊方式入侵系統,並成功獲取具有管理員權限的帳戶憑證。這些黑客利用這些憑證進行了勒索軟件攻擊和竊取儲存系統內的個人資料。

私隱專員鍾麗玲指出,數碼港是一家規模龐大的機構,常常處理大量不同人士的個人資料。公眾和持分者合理期望數碼港投入足夠資源,確保系統和數據的安全性。因此,數碼港應該採取足夠的保安措施。

私隱專員已向數碼港發出執行通知,要求公司糾正違反事項。同時,他們建議數碼港建立個人資料私隱管理系統,並委任保障資料主任,定期進行風險評估並適時刪除個人資料,以防止類似的違規事件再次發生。

數碼港回應:採取多項措施以提升防範黑客攻擊的能力

另一方面,數碼港董事局成立了專責小組,負責調查和跟進數碼港網絡遭受攻擊事件。專責小組已完成調查工作並向董事會提交了匯報。數碼港也向個人資料私隱專員公署提交了調查報告。

數碼港稱,非常重視這一事件,並立即成立專責小組進行調查,採取多項措施以提升防範黑客攻擊的能力。這些措施包括加強網絡防護屏障、增強偵測網絡攻擊和入侵的能力,並成功阻止了後續的網絡攻擊。數碼港還委託專業的第三方進行定期的網絡安全監測和道德黑客入侵測試,並增加了監察網絡安全的工具,全力提升網絡安全保護能力。

同時,數碼港積極聯繫和支援受影響人士,以盡力減低潛在的影響。數碼港為已知的受影響和潛在受影響人士提供免費信貸監察服務和暗網身份監察服務,以最大程度地減少潛在風險。即使在涉事黑客的暗網被瓦解後,監察服務仍然有效,以確保受影響人士繼續得到最大的保護。

專責小組的調查還發現數碼港在內部資訊保安和數據管理方面有改善的空間。數碼港已加強多項措施,持續提升各個營運層面的資訊系統保安和數據安全水平和意識。數碼港還審視並加強有關個人資料管理的措施,以確保完全符合《個人資料(私隱)條例》訂明的個人資料保護原則。數碼港感謝私隱專員公署在這一過程中提出的寶貴意見和具體建議。數碼港將持續努力,落實和優化相關的系統和數據安全措施。

數碼港董事、網絡安全事件專責小組主席伍志強表示:“自事件發生以來,專責小組與管理層積極審視並即時跟進,快速增強網絡和數據防護屏障,有效防範後續的網絡入侵攻擊,並致力於支援受影響人士,盡力減低潛在影響,以及全面配合調查和改善數碼港的資訊安全和數據管理。我們將繼續努力確保數碼港的網絡和數據安全,並與相關的監管機構和專家合作,提升我們的防範能力和應對措施。

zh_HK香港中文