作者: 趨勢科技 TrendMicro

近日出現兩隻值得注意的勒索病毒 Ransomware (勒索軟體/綁架病毒) – Snatch和Zeppelin。Snatch勒索病毒可以強迫Windows電腦重新啟動進入安全模式。而Zeppelin勒索病毒則感染了歐洲和美國的醫療和IT公司。

Snatch勒索病毒重啟電腦進入安全模式來躲避安全防護

Snatch會重新啟動受感染電腦進入安全模式來繞過安全軟體以加密檔案而不被偵測。這樣做的原因是安全軟體通常不會在Windows安全模式下執行，因為此模式是用來除錯和回復有問題的作業系統（OS）。

研究人員發現勒索病毒作者利用Windows登錄檔來排程一個名為SuperBackupMan的Windows服務，此服務可以在安全模式下執行，無法被停止或暫停。此惡意軟體甚至會進一步刪除系統上所有的磁碟區陰影複製來防止鑑識回復加密檔案。

Snatch勒索病毒最早於2018年被發現，它的目標並不是家庭使用者，也沒有利用垃圾郵件或瀏覽器漏洞等大規模散播方式。此惡意軟體操作者只專注在小部分的目標，包括公司和政府組織。操作者還會在駭客論壇上招募駭客來從目標組織竊取資訊。

Zeppelin勒索病毒針對歐洲和美國的醫療和IT公司

Zeppelin是VegaLocker/Buran勒索病毒的新變種，被發現會透過針對性安裝感染位於歐洲和美國的公司。根據BlackBerry Cylance的報導，Zeppelin勒索病毒屬於勒索病毒即服務（RaaS）模式，被發現感染了某些醫療和IT公司。

Waterbear 是一個已肆虐多年、善於使用模組化惡意程式、並可從遠端新增功能的駭客攻擊行動。此攻擊行動幕後的操控者很可能是 BlackTech 網路間諜集團，該集團主要攻擊東亞的科技公司與政府機關 (特別是台灣，有時也攻擊日本和香港)，同時也是某些惡名昭彰的攻擊 (如  PLEAD 和 Shrouded Crossbow) 幕後的黑手。在之前的攻擊當中，我們看到 Waterbear 主要用於橫向移動，並使用檔案載入器來解開及觸發加密的惡意檔案。在大多數情況下，這些惡意檔案都是用來接收並載入更多模組的後門程式。不過在最近一起攻擊中，趨勢科技發現某個 Waterbear 惡意檔案有了全新的用途：藉由 API 攔截 (API hooking) 技巧來隱藏自己的網路活動以免被某資安廠商的產品偵測。根據我們的分析，這是一家亞太地區的資安廠商，而這也正是 BlackTech 集團習慣攻擊的地區。

由於駭客知道該攔截哪個 API 來避開偵側，因此意味著駭客很可能熟悉該資安產品在客戶端點和網路上蒐集資訊的方式。而且，由於其程式碼採用通用的方式來攔截 API，因此未來很可能只需更換部分程式碼就能讓別的產品也無法偵測 Waterbear。

Waterbear 深入剖析