竊取總計高達 2,500 萬美金的漏洞攻擊套件 Angler 垮台之後,最新加密勒索病毒活動

 

今年稍早,趨勢科技曾經撰文指出 Angler 是 2015 年最強勢的漏洞攻擊套件,占該年所有漏洞攻擊套件活動的 59.5%,但如今卻完全銷聲匿跡。

有趣的是,就在 50 名利用該惡意程式來竊取總計高達 2,500 萬美金的網路犯罪分子遭到逮捕之後, Angler 基本上已經完全停止營運。雖然 Angler 似乎已經沉寂,但網路犯罪分子顯然並未受到影響,因為他們正忙著尋找新的漏洞攻擊套件來取代,Angler 之所以成為當時的首選,是因為它收錄新漏洞的速度最快,而且擁有許多躲避防毒軟體偵測的技巧,例如:將惡意內容加密以及無檔案的感染方式。

在 Angler 垮台之後,趨勢科技看到漏洞攻擊套件的整體活動已大幅下降。雖然其他漏洞攻擊套件的活動有所增加,但完全無法和 Angler 相提並論,顯然,之前仰賴 Angler 的網路犯罪活動似乎並未完全移轉到其他漏洞攻擊套件。

圖 1:漏洞攻擊套件活動 (2016 年 6 月 1 日至 15 日)

歹徒之前經常利用 Angler 來散布勒索病毒 Ransomware (勒索病毒/綁架病毒),那麼 Angler 沉寂之後,是否會對勒索病毒造成影響?答案是:「不盡然」。今年三月,我們開始看到歹徒利用  Magnitude 漏洞攻擊套件散布  Cerber 勒索病毒,而去年也有 Rig 漏洞攻擊套件會散布 CryptoWall 和 TeslaCrypt。隨著 Angler 消失在地平線上,我們看到原本透過 Angler 散布的  CryptXXX現在也開始改用 Neutrino,而原本不受看好的 Rig 和 Sundown 漏洞攻擊套件,也開始受到新勒索病毒家族的青睞。

後來居上

Rig 漏洞攻擊套件收錄了一個因 Hacking Team 資料外洩事件而曝光的零時差漏洞以及 Adobe Flash Player 和其他的軟體漏洞,Rig 曾經出現在近期的一波惡意廣告當中,受害者幾乎遍及 40 個國家,但主要目標為日本。

圖 2:Rig 偵測數量分布 (2016 年 6 月 1 日至 16 日)

Sundown 使用的是 Adobe Flash Player 當中一個使用已釋放記憶體的漏洞。Sundown 與 Rig 一樣,主要攻擊日本地區,值得注意的是,並非所有前述攻擊都透過 Sundown 來散布勒索病毒。

圖 3:Sundown 偵測數量分布 (2016 年 6 月 1 日至 16 日)

散布新的勒索病毒

從最近的活動看來,Rig 漏洞攻擊套件都在散布一個新的勒索病毒家族:RANSOM_GOOPIC.A,此勒索病毒要求的贖金為 500 美元,而且畫面設計得相當專業精美。

圖 4:GOOPIC 勒索病毒畫面。

此勒索病毒另一個奇特之處在於它提供了很長的期限來讓受害者支付贖金,之前的勒索病毒一般大多提供 24 至 72 小時的倒數期限,就算是知名的 CryptXXX勒索病毒最多也只給  90 小時的期限。

圖 5:超過 200 小時以上的贖金支付期限。

至於 Sundown 則是會散布 CryptoShocker 勒索病毒 (趨勢科技命名為 RANSOM_CRYPSHOCKER.A),不過它並不如表面上看起來恐怖,它會要求 200 美元的贖金,甚至幫比特幣(Bitcoin)交易服務打廣告,並打上廠商的標誌。

圖 7:CryptoShocker 的勒贖訊息。

漏洞攻擊套件主要是利用過時或未修補的系統和應用程式來攻擊使用者,趨勢科技建議使用者隨時保持作業系統和應用程式更新,避免成為漏洞攻擊套件及勒索病毒的受害者,除此之外,也千萬不要點選不明來源的連結,因為這些連結可能連上惡意網站。

趨勢科技解決方案

趨勢科技提供了各種不同解決方案來保護大型企業、中小企業以及一般使用者,協助使用者降低感染加密勒索病毒的風險。

大型企業可循序漸進採用多層式的防禦來盡可能降低這類威脅的風險。趨勢科技 Deep Discovery™ Email InspectorInterScan™ Web Security 這類電子郵件和網站閘道解決方案,可防止勒索病毒到達使用者端;在端點裝置方面,有趨勢科技Smart Protection Suites提供的行為監控和應用程式控管,可防堵漏洞並降低這類威脅的衝擊;在網路方面,趨勢科技 Deep Discovery Inspector 可偵測並攔截勒索病毒。至於趨勢科技Deep Security則可防止勒索病毒進入企業伺服器,不論實體、虛擬或雲端伺服器皆適用。

對於中小企業,Worry-Free Pro提供了 Hosted Email Security 雲端式電子郵件閘道防護,其內含的端點防護更提供了多種偵測並攔截勒索病毒的功能,例如:行為監控和即時網站信譽評等。

在一般使用者方面,趨勢科技PC-cillin雲端版 可針對勒索病毒提供完整的防護,它能攔截惡意網址、惡意電子郵件以及這類威脅相關的檔案。

除此之外,使用者還有一些我們的免費工具可用,例如:趨勢科技螢幕解鎖工具可偵測並移除專門鎖定螢幕的勒索病毒,而趨勢科技檔案解密工具則可解開某些加密勒索病毒變種所加密的檔案,這樣您就不須支付贖金來取得解密金鑰。

相關檔案雜湊值:

  • d6bbf02ec922ba035d863ec813221f15ab4c2bfb – RANSOM_GOOPIC.A
  • 02126b0f507d38b03624599e782931e43c5e7141 – RANSOM_CRYPSHOCKER.A

原文出處:After Angler: Shift in Exploit Kit Landscape and New Crypto-Ransomware Activity 作者:Joseph C Chen (詐騙研究員)

 

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數