趨勢科技 TrendMicro | 資安趨勢部落格

台灣遭勒索病毒攻擊次數，全球排名第18名亞洲第7 ;平均每起變臉詐騙,企業損失逾 430 萬台幣 — 四個刷新紀錄的企業威脅

2017 年 03 月 08 日2017 年 04 月 25 日趨勢科技 TrendMicro

2016 年的威脅情勢屢創新高：新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族、全球肆虐的變臉詐騙以及各種熱門平台的軟體漏洞。其中，勒索病毒家族數量去年飆升7倍，趨勢科技統計，受勒索病毒攻擊次數全球排行榜中，台灣排名第18名，仍屬於資安高風險國家，亞洲中更是僅次於印度、越南、印尼、日本、菲律賓、泰國等國，亞洲排第7。全球企業損失300億元

勒索病毒造成全球企業損失金額高達10億美元，相當於新台幣300億元

趨勢科技日前發布年度資訊安全總評報告「2016 年資訊安全總評：企業威脅刷新紀錄的一年」，報告顯示2016 年網路威脅屢創新高，勒索病毒 Ransomware (勒索軟體/綁架病毒)和變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)越來越受網路犯罪集團青睞。

其中，勒索病毒造成全球企業損失金額高達 10 億美元（相當於新台幣300億元），且勒索病毒新家族數量較2015年相比成長 7 倍，顯現駭客攻擊對企業的影響幅度有加劇之趨勢。

企業資安威脅在 2016 年寫下新的紀錄，網路勒索成了一大問題。新的勒索病毒家族數量出現前所未有的爆炸性成長，而變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC) 也讓企業蒙受了巨大的損失。該年發現的軟體漏洞總數，也突破去年的紀錄，甚至出現了工業用監控與資料擷取 (SCADA) 系統的漏洞。若 2016 年能帶給我們什麼啟示的話，那就是企業應徹底強化自己的資安防護。

以下為四個刷新紀錄的企業威脅:

新的勒索病毒家族數量成長 752%
平均每起變臉詐騙,企業損失約 14 萬美金(434 萬台幣)
企業軟體與 SCADA 軟體的漏洞數量名列前茅
Mirai 殭屍網路大約掌控了全球 10 萬個物聯網 IoT ,Internet of Thing）裝置

新的勒索病毒家族數量成長 752%

勒索病毒攻擊比以往更加難纏，新的勒索病毒家族數量在 2016 年成長了 752%，垃圾郵件是最主要的感染途徑。

每月新增的勒索病毒家族數量

繼續閱讀

專挑 MacOS 的勒索病毒, Patcher假修補真加密,付贖金也無法挽回檔案,因為…

2017 年 03 月 07 日2017 年 03 月 09 日趨勢科技 TrendMicro

今年二月初，趨勢科技曾經提過針對非 Windows 系統的勒索病毒將開始崛起，最近出現的 Patcher (趨勢科技命名為：OSX_CRYPPATCHER.A) 正是一個專挑 MacOS 作業系統的勒索病毒 Ransomware (勒索軟體/綁架病毒)。

[相關文章：專挑類 UNIX 系統的勒索病毒將帶來什麼改變]

Patcher 是經由 bittorrent 檔案下載散布，它會偽裝成 Microsoft Office 和 Adobe Premiere Pro 等熱門軟體的修補程式。一旦下載之後，資料夾顯示的應用程式圖示上有「Patcher」字樣。

當其檔案執行時，螢幕上會出現一個假裝準備進行修補的畫面。然而 Patcher 勒索病毒一旦執行，就會開始使用隨機產生的 25 字元加密金鑰來將檔案加密。它會將「/Users」目錄以及掛載到「/Volumes」目錄下的磁碟和外接裝置當中所有檔案加密。此外，也會在使用者的系統上放置一份勒索訊息，勒索的金額為 0.25 比特幣 (約 300 美元)。繼續閱讀

跨世代的趨勢科技 XGen™ 防護

2017 年 03 月 07 日2020 年 08 月 28 日趨勢科技 TrendMicro

我們已邁入一個新的網路威脅時代，一個截然不同於過去的時代。在這個時代，企業資安長 (CISO) 必須面對的不光只有大量的「舊式威脅」，還有越來越多、各式各樣、更加隱密且專門為了躲避傳統防護而設計的新式攻擊，例如：針對性攻擊、勒索病毒、零時差漏洞攻擊，以及商業流程入侵。除此之外，資安長還必須面對更廣大的攻擊面：雲端、行動裝置、使用者不良習慣等等。無意外地，2016 年美國資料外洩案例又創下新高，突破 1,000 起，而且應該還有很多案例尚未被發覺。

這正是為何在新的時代裡，企業必須能夠同時應付不同時代的威脅、IT 架構及使用者習慣 ─ 這就是趨勢科技 XGen™ 防護的設計目標。

已知及未知威脅

今日的資安團隊面臨了一項艱難的任務：一方面，企業閘道每天都必須攔截大量的已知威脅，數量多到有如疫情爆發一樣。趨勢科技光 2016 年就幫客戶攔截了 800 億次已知威脅。然而這只是開端而已，隨著地下網路上所提供的犯罪工具和犯罪知識越來越豐富，我們發現每日新增的非重複威脅數量也開始暴增，每天都會出現大約 50 萬個變種，而且這些都需要更進階的技巧才能偵測並攔截。

趨勢科技 2017 年資安預測報告：2017 年，新世代的針對性攻擊將運用一些專門騙過資安產品的全新技巧，包括：進階的沙盒環境偵測/躲避技巧與虛擬機器跳脫 (VM Escape) 技巧。更嚴重的是，IT 基礎架構的所有環節都可能遭到威脅，從端點裝置到網路與伺服器，一路直達雲端。

然而要在這所有環節上建置進階的防護是一項困難的挑戰，因為這需要多種不同的技術能力和資源。因此，很多企業都會建置多種不同的專用產品來因應，但這樣反而增加了 IT 的負擔，同時也不利於整體狀況的掌握與效能，而且可能造成防護上的漏洞讓威脅有機可乘。

趨勢科技 XGen™ 防護的跨世代優勢

許多資安廠商都宣稱能夠提供一勞永逸的方法來對抗新時代的網路威脅。我真心希望如此，但事情卻沒這麼簡單。光靠機器學習並非有效辦法，雖然機器學習擁有強大的預測能力，可判斷未知檔案是否為惡意檔案，但卻需要更大的運算能力，而且誤判率較高，因此不適合用來對付大量已知威脅。所以，我們需要一種能夠「跨越不同世代」的威脅防護，而且要在適當的時機套用適當的防禦技巧，以發揮最大的防護效率及效果。這就是 XGen™ 防護的設計，其主要防護如下：

惡意程式防護與內容過濾：可快速偵測、攔截大量已知的惡意檔案、網址和垃圾郵件。繼續閱讀

Mirai 殭屍網路成為鎂光燈焦點後, IOT物聯網威脅將成為主流？

2017 年 03 月 07 日2017 年 02 月 22 日趨勢科技 TrendMicro

物聯網（IoT ,Internet of Thing）正逐漸改變我們生活和工作的方式：它讓我們更有生產力、更健康、更快樂，也讓企業更聰明、更有效率且更加靈活。只不過有一個問題：從資安的角度來看，IoT 裝置存在著一些基礎的弱點，而歹徒也越來越擅長利用這些弱點。

2017 年，趨勢科技預測消費型智慧裝置與工業 IoT 環境將面臨排山倒海的攻擊。儘管這兩類系統截然不同，但只要是企業遭到了入侵，其後果是一樣的。

Mirai以預設的帳號密碼登入物聯網裝置，使得成千上萬的智慧裝置淪為殭屍網路的成員

如果說 2016 年是 IoT 殭屍網路成為鎂光燈焦點的一年，那麼 2017 年將是這項威脅蔚為主流的一年。就在 Mirai 殭屍病毒原始程式碼在去年公開流傳之後，沒多久就被駭客用來刺探各種智慧家庭裝置，並且以預設的帳號密碼登入這些裝置，使得成千上萬的智慧裝置淪為殭屍網路的成員，幫助駭客發動多起史上最大規模的分散式阻斷服務攻擊 (DDoS)攻擊。其中一起攻擊據說曾經一度中斷了非洲國家利比亞的網路。不過，最受矚目的受害案例是 Dyn 這家DNS 服務廠商，該公司一些知名客戶的網站因而無法瀏覽，例如： Twitter、Reddit、Spotify 以及 SoundCloud。

2016 年10 月DNS服務商 Dyn 遭遇的大規模分散式阻斷服務攻擊 (DDoS),數以千計遭到殭屍化的監視攝影機發動攻擊，造成多數網站無法使用，其中較知名的有：CNN、Airbnb、Spotify、Netflix、HBO等。

我們預測，今年網路犯罪集團仍將繼續利用這些消費型裝置 (如網路攝影機與 DVR 數位錄影機) 的基本安全漏洞來建立殭屍網路以發動 DDoS 攻擊。畢竟，Mirai 病毒似乎並未引起廠商的警惕，這表示未來仍有許多發掘不完的裝置漏洞可以利用。今年，這些由駭客激進團體或網路犯罪營利組織所發動的 DDoS 攻擊，將鎖定各式各樣的網路服務、新聞、企業及政治相關網站。

歹徒只要駭入一輛汽車，就能輕易造成嚴重的高速公路堵塞

在光譜的另一端，我們很可能將看到更多針對工業 IoT 系統的攻擊，例如：製造業與能源產業所使用的工業系統。之前就出現過這樣的案例：2015 年 12 月及 2016 年，烏克蘭的電廠曾經遭到相當精密的駭客攻擊，導致了嚴重的電力中斷。繼續閱讀

Unix：會徹底改變勒索病毒遊戲規則嗎？

2017 年 03 月 06 日2017 年 02 月 22 日趨勢科技 TrendMicro

2016年是勒索病毒Ransomware（勒索軟體/綁架病毒）肆虐的一年。惡意分子進一步地將勒索武器化成惡意軟體，緊抓住企業和一般使用者最珍貴的資料做為人質來大肆要錢。相較於2015年的29個新勒索病毒家族，這一年有146個勒索病毒家族出現。勒索病毒的迅速擴張和發展也被預料會刺激網路犯罪分子的進入，進而多樣化和擴展他們的平台、能力和技術，找到更多的目標。

的確，我們已經看到他們將觸角伸向行動使用者來試水溫。我們也看到有勒索病毒開發在其他作業系統上，然後在地下市場兜售給下游和新手網路犯罪分子。

Linux.Encoder（趨勢科技偵測為ELF_CRYPTOR家族）據報是第一個針對Linux系統的勒索病毒；它的目標是Linux網頁代管系統，會攻擊外掛程式或軟體（如Magento）的漏洞。而在Mac OS X系統上則有KeRanger（OSX_KERANGER），出現在被竄改過的檔案分享應用程式和惡意Mach-O檔案中，偽裝成RTF格式文件。

它們的共同點？都是Unix：多使用者、帶有命令行的作業系統，具備統一的檔案系統和簡單而強大的工具，如shell和命令列語言，可以用來進行複雜的任務。它的靈活性和普及性讓程式人對其有著不同的喜好，包括Linux和Mac OS X.

圖1、Linux.Encoder（上方）和KeRanger（下方）加密程式庫的相似性；都使用ARM mbed TLS，它提供應用程式SSL/TLS和加密能力

圖2、Linux.Encoder（左）和KeRanger（右）的函數名稱相似性，可能表示惡意軟體重寫；函數邏輯重複出現在兩個樣本上

Linux.Encoder利用的是安全漏洞，KeRanger則是竊取合法Apple憑證來繞過Gatekeeper

雖然兩者都用Windows勒索病毒常見的方式感染系統，但它們抵達的載體大多跟使用者無關，這是因為Unix的本質使然。Linux.Encoder利用的是安全漏洞，KeRanger則是竊取合法Apple憑證來繞過Gatekeeper（一個強制要求程式碼簽章和驗證下載軟體的安全功能）。不過從它們在封裝程式、結構、加密程式庫、函數名稱和勒贖通知的相似處來看，可以推測KeRanger是Linux.Encoder重新編譯的版本。

我們對這些勒索病毒的分析還能夠看出這只是前哨戰，而且可以察覺Unix勒索病毒會以什麼樣子呈現。像是KeRanger，具備一個未使用的功能能夠加密/刪除OS X的Time Machine（Mac電腦的備份工具）。Linux.Encoder透過開放原始碼勒索病毒專案而誕生，開發者努力的進行了數次更新來修復惡意軟體加密程序的缺陷。它留下了一大堆中毒的Linux伺服器自生自滅，而它的第三版在全球感染了600台伺服器。繼續閱讀