跨國黑客連接得手 雙重勒索人人自危

[**新科技速遞**] **[網絡安全 Cyber Security]**[Maze]

Maze得手之後在受害者的系統留言，要求支付贖金，另外要脅曝光數據，收取雙重贖金。

**新科技速遞**

全球有多家跨國企業，據報遭黑客組織，以Maze勒索軟件攻撃；包括了LG及Xerox；其中最驚人算是6月份；負責維護美國 MinuteManIII 核武庫軍事承包商 Westech International，遭 Maze惡意程式感染，竊取了大量敏感資訊。

LG及Xerox拒絕向運作Maze勒索軟件的黑客付贖金；據報 LG 有50.2 GB， 而 Xerox則有25.8 GB數據已遭公開。

美國網絡安全信息公司Bad Packets估計，LG和Xerox都是因為未有修補Citrix ADC伺服器漏洞，乘虛而入受到攻擊。

較早有消息亦指，Canon也遭Maze勒索軟件攻撃，Maze以雙重勒索威脅及隱蔽的策略、技術與過程 (TTPs) 聞名。不過有關消息受Maze黑客否認。

**網站停頓流言四起**

6月底，Canon提供上載及儲存照片的流動應用image.canon突然停止服務6日；外部傳言網站已遭受攻擊。網站重開後，Canon公佈10 GB數據出現了問題，損失了6月16日前上載部分數據，強調並無任何照片外洩。

較早前，Maze發表公告已竊取某家大科技企業10 TB數據。鑑於時間上吻合，外間以為Canon也受到Maze攻擊。隨後Maze網站上否認與image.canon網站受攻擊有關。

據報Canon已延聘電腦調查公司蒐證，暫時未有任何進一步消息。雖然，營運Maze勒索軟件的黑客否認攻擊 Canon，過去數月Maze已有多宗勒索得手案例；包括入侵美國芯片製造商MaxLinear以及專門提供收購合併諮詢的Threadstone Advisors。

**雙重勒索予取予攜**

過去一月，除了Westech，Maze網站聲稱新加坡ST Engineering亦是受害者之一。 Maze公佈哥斯大黎加銀行的大量客戶信用卡資料。較早前知名IT服務供應商Cognizant及Conduent，也相繼中招。

營運Maze 勒索軟件的黑客，慣常在加密檔案後，再盜取數據要脅曝光，作進一步勒索之用。全球多家網絡安全廠商；包括 Mandiant/FireEye和  Talos，均已發表Maze研究，遭入侵機構已過百家，不少保管大量敏感數據。

網絡安全廠商Sophos發表《2020勒索軟件形勢分析》，指即支付贖金，企業恢復受勒索軟件加密數據，也非簡單便宜，往往是支付贖金後再付雙倍的代價，才能恢復數據。40%曾遭勒索軟件攻擊的亞太區企業，承認曾支付贖金。

SophosLabs發表過專門研究Maze報告《Maze Ransomware: Extorting Victims for 1 Year and Counting》分析了集數據加密、盜竊及曝光威脅的進階攻擊，其工具、技巧及流程。

Maze是2019年5月為網絡安全研究員Jerome Segura發現，利用一種名為ChaCha算法機制加密數據，可以「即服務形式」Ransomware-as-a-Service （RaaS）出租勒索第三者，經常與類以 Cobalt Strike及Metasploit等攻擊工具一同使用。

Maze不攻擊某些語系的系統，系統語言設置為東歐語或中亞語系，Maze不會發動攻擊；包括俄語、烏克蘭、白俄羅斯語、塔吉克語、亞美尼亞、亞塞拜疆、格魯吉亞、哈薩克、吉爾吉斯、土庫曼、烏茲別克、塔塔爾、羅馬尼亞和塞爾維亞方言，Maze也不攻擊醫療機構，迄今受害的機構 ，仍以美國居多。