企業資安 - 資安趨勢部落格

中小企業預防勒索病毒及BEC 變臉詐騙的六個資安祕訣

2017 年 03 月 09 日2017 年 03 月 10 日趨勢科技 TrendMicro

趨勢科技預測 2017 年勒索病毒家族的數量將成長 25%，而且針對企業的攻擊數量將會增加。除此之外，變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)，一年的不法獲利高達 30 億美元左右,猶如勒索病毒一樣，這類威脅在 2017 年當中只會更加精密且越來越多。

2016 年的威脅情勢屢創新高：新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族、全球肆虐的變臉詐騙以及各種熱門平台的軟體漏洞。其中，勒索病毒家族數量去年飆升7倍，趨勢科技統計，受勒索病毒攻擊次數全球排行榜中，台灣排名第18名，仍屬於資安高風險國家，亞洲中更是僅次於印度、越南、印尼、日本、菲律賓、泰國等國，亞洲排第7。全球企業損失300億元(詳情請看)

以下我們特別整理了六項防範措施來協助中小企業避免淪為下一個受害者:

1.建置多層式防護：中小企業的資安主力大多集中在端點防護，但卻忽略了其他潛在的威脅管道。保護所有存取企業資料和網路的裝置 (包括行動裝置) 其實非常重要。從最近 WhatsApp 和 Super Mario Run 所發生的漏洞攻擊可以看出，行動裝置已經成為駭客越來越愛的攻擊目標。

》延伸閱讀:超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為

2.保護郵件伺服器： 根據趨勢科技 2016 上半年資訊安全總評指出，71% 的勒索病毒都來自電子郵件，而這也是變臉詐騙最普遍的攻擊管道。因此，除了強化電子郵件防護之外，您還必須小心提防那些要求匯款的電子郵件，即使是來自正常的來源。繼續閱讀

台灣遭勒索病毒攻擊次數，全球排名第18名亞洲第7 ;平均每起變臉詐騙,企業損失逾 430 萬台幣 — 四個刷新紀錄的企業威脅

2017 年 03 月 08 日2017 年 04 月 25 日趨勢科技 TrendMicro

2016 年的威脅情勢屢創新高：新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族、全球肆虐的變臉詐騙以及各種熱門平台的軟體漏洞。其中，勒索病毒家族數量去年飆升7倍，趨勢科技統計，受勒索病毒攻擊次數全球排行榜中，台灣排名第18名，仍屬於資安高風險國家，亞洲中更是僅次於印度、越南、印尼、日本、菲律賓、泰國等國，亞洲排第7。全球企業損失300億元

勒索病毒造成全球企業損失金額高達10億美元，相當於新台幣300億元

趨勢科技日前發布年度資訊安全總評報告「2016 年資訊安全總評：企業威脅刷新紀錄的一年」，報告顯示2016 年網路威脅屢創新高，勒索病毒 Ransomware (勒索軟體/綁架病毒)和變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)越來越受網路犯罪集團青睞。

其中，勒索病毒造成全球企業損失金額高達 10 億美元（相當於新台幣300億元），且勒索病毒新家族數量較2015年相比成長 7 倍，顯現駭客攻擊對企業的影響幅度有加劇之趨勢。

企業資安威脅在 2016 年寫下新的紀錄，網路勒索成了一大問題。新的勒索病毒家族數量出現前所未有的爆炸性成長，而變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC) 也讓企業蒙受了巨大的損失。該年發現的軟體漏洞總數，也突破去年的紀錄，甚至出現了工業用監控與資料擷取 (SCADA) 系統的漏洞。若 2016 年能帶給我們什麼啟示的話，那就是企業應徹底強化自己的資安防護。

以下為四個刷新紀錄的企業威脅:

新的勒索病毒家族數量成長 752%
平均每起變臉詐騙,企業損失約 14 萬美金(434 萬台幣)
企業軟體與 SCADA 軟體的漏洞數量名列前茅
Mirai 殭屍網路大約掌控了全球 10 萬個物聯網 IoT ,Internet of Thing）裝置

新的勒索病毒家族數量成長 752%

勒索病毒攻擊比以往更加難纏，新的勒索病毒家族數量在 2016 年成長了 752%，垃圾郵件是最主要的感染途徑。

每月新增的勒索病毒家族數量

繼續閱讀

竊取高達 87GB敏感資料的 EyePyramid,是國家級駭客? 只是一對想發財的兄妹檔!

2017 年 02 月 23 日2017 年 02 月 14 日趨勢科技 TrendMicro

歹徒的目標有時是可拿到地下市場販賣的金融資訊，或是公司的商業機密。就連已遭入侵的網路帳號密碼，對網路犯罪者來說也是一項商品。因此，針對攻擊來源進行一番仔細的研究，有助於事件回應和資安矯正。

此外，追查幕後的駭客有助於了解其技術的純熟度，並且掌握駭客資源與技巧的多寡，以及資安人員有多少應變時間。但是，研究人員不該因為事件的重大而譁眾取寵，或者隨著主流媒體對資安事件的炒作與恐慌而起舞。

EyePyramid 事件印證了一件事：重大的資安攻擊並非只有國家級駭客才能辦到。從保護企業邊境的觀點來看，了解未來該如何防範並取得必要的工具和專業知識來面對這些威脅，反倒更為重要。

今年初EyePyramid 資訊竊盜程式成了各大媒體的焦點，因為它從一些政府機關、私人企業和公家機構竊取了高達 87GB 的敏感資料，共有 100 多個電子郵件網域和 18,000 多個電子郵件帳號受害，包括義大利、美國、日本和歐洲的一些知名機構在內。

很多人或許會認為 EyePyramid 應該是由國家級駭客所進行的一項網路間諜行動。但事實並非如此，該行動的「幕後集團」最後被發現只是一對想要利用惡意程式賺錢的兄妹檔。

追根溯源相當困難

若我們可以從 EyePyramid 的案例學到什麼教訓的話，那就是：追根溯源相當困難。追溯幕後的源頭是網路犯罪偵查當中最複雜的工作，部分原因是網際網路的設計讓歹徒有很多方式可以隱藏行蹤。

就算真的追查到網路攻擊的源頭，大多數資安機構和資安人員也都會盡可能避免點名特定的個人、團體或國家，因為這麼做很冒險。例如，資安界經常引用惡意程式碼當中的一些特徵來當成佐證。但不幸的是，惡意程式碼的作者經常不是實際犯案的歹徒，因為這些程式很可能是從地下市場買來的。除此之外，從惡意程式也看不出幕後運籌帷幄的歹徒，因為他們有許多躲藏和造假的工具和技巧。甚至連受害者、犯案動機或惡意程式所參與的行動都很難斷定。繼續閱讀

2016臺灣企業受駭比例最高的惡意攻擊 RAMNIT 並未消失

2017 年 02 月 21 日2017 年 05 月 09 日趨勢科技 TrendMicro

2016年中華電信從自家情資中心資料選出20個臺灣企業受駭比例最高的惡意攻擊行為，其中榜首為Ramnit，該報告指出台灣平均每日逾30,000件的感染案件都是來自Ramnit的攻擊。

RAMNIT以在銀行網站上注入惡意程式碼來竊取受害客戶的帳號資訊而惡名昭彰, 頑強的RAMNIT會將自己的程式碼注入系統上正在跑的所有執行程序，讓自己隨時常駐在記憶體內，而且還會刪除防毒軟體相關的系統登錄機碼來保護自己。

網路釣魚郵件是 RAMNIT 的重要散布管道,今年稍早，英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告，指出網路犯罪集團正利用社會大眾的愛心，假借慈善機構散發網路釣魚郵件。

2015 年 2 月歐洲刑警組織 (Europol) 才查獲了多台幕後操縱 (C&C) 伺服器。但此惡意程式並沒有從此消聲匿跡,之後又重新出發，企業不僅必須提高警覺，還要建立一套指導原則和日常實務指南來防範像 RAMNIT 這類不斷演變的威脅。

今年稍早，英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告，指出網路犯罪集團正利用社會大眾的愛心，假借 Migrant Helpline 的名義散發網路釣魚郵件，Migrant Helpline 是一個專門協助跨國移民的慈善機構。這些網路釣魚郵件內含一個原本應該指向捐款網站的連結。但該連結卻會讓使用者在不知情的狀況下，下載到目前最頑強的惡意程式之一，也就是 2016 年東山再起的 RAMNIT 木馬程式。

趨勢科技「2016 年資訊安全總評」報告指出，銀行木馬程式依舊是企業最重要的威脅之一。根據我們 Smart Protection Network™ 全球威脅情報網的資料顯示，2016 年每一季趨勢科技都偵測到許多 RAMNIT 變種，而且它還位居銀行惡意程式排行榜之首。這一點相當令人訝異，因為 2015 年 2 月歐洲刑警組織 (Europol) 才查獲了該木馬程式的多台幕後操縱 (C&C) 伺服器。當歐洲刑警組織破獲該組織時，感染 RAMNIT 的使用者大約在 320 萬左右。

根據當時破獲行動的規模來看，RAMNIT 的感染數量照理應當要大幅下降才對。但是，感染數量只有在 2015 年 2 月確實減少，但隔月幾乎就完全恢復，而且接下來的 2015 一整年，感染數量一直維持在 10,000 以上。根據媒體報導，此惡意程式在 2015 年 12 月和 2016 年 8 月又重新出發，這也解釋了為何後續幾個月的感染數量突然飆升。

繼續閱讀

企業感染最多的行動裝置惡意程式: 越權廣告程式、間諜程式、銀行木馬、Root 改機木馬和簡訊木馬

2017 年 02 月 16 日2017 年 02 月 13 日趨勢科技 TrendMicro

根據趨勢科技企業版行動安全防護所回報的資料，2016 年企業感染最多的是一些可能有害的程式 (如越權廣告程式) 以及間諜程式、銀行木馬程式、Root 改機木馬程式和簡訊木馬程式。

6,500 萬：這就是趨勢科技2016 年所攔截到的行動威脅數量。截至 2016 年 12 月為止，我們所蒐集和分析的非重複 Android 惡意程式樣本總數高達 1,920 萬，較 2015 年的 1,070 萬有著飛躍性成長。

事實上，行動裝置在消費者與企業機構之間不斷普及，以及背後的技術不斷進步，正是行動威脅爆炸性成長、不斷複雜化、不斷強化的動力。

儘管行動威脅的感染方式和途徑大家都耳熟能詳，但行動威脅的多樣性、規模和範圍在 2016 年卻更加擴大。隨著企業採取 BYOD 政策或配發行動裝置的情況更加普遍，更多企業也開始感受到行動惡意程式的衝擊。行動使用者目前仍是網路犯罪者所垂涎的目標，所以勒索病毒才會變得如此猖獗。再者，軟體被揭露的漏洞越來越多，歹徒也趁機擴大其攻擊面、惡意程式數量和散布方式。尤其，過去一向以安全自豪的 iOS 系統也開始淪陷。

就全球來看，目前最普遍的是漏洞攻擊和惡意的 Root 改機程式。但若單就日本來看，最盛行的反倒是行動勒索病毒，而美國最多的是暗中竊取資訊及收發簡訊的惡意程式。

根據趨勢科技 Mobile App Reputation Service (MARS) 行動裝置應用程式信譽評等服務，以及 Smart Protection Network™ 全球威脅情報網的統計，再加上過去一年針對重大事件的外部研究資料，以下是 2016 年行動威脅情勢的幾項重點：

企業感染行動惡意程式最多的國家:中國

個人自備裝置 (BYOD) 在企業之間不斷普及，再加上員工開始透過智慧型手機來存取企業網路、服務及資產，都加深了行動威脅對企業的危害。相反地，我們並未看到任何專為企業而設計惡意程式。我們所觀察到的感染案例大多是因為一些連上企業網路並存取公司檔案的裝置下載並安裝了惡意應用程式 (而且經常來自第三方應用程式市集)，例如，QVOD (趨勢科技命名為：ANDROIDOS_EHOOPAY.AXM) 就是一個偽裝成視訊播放器的惡意程式。它會擅自替使用者註冊一些高費率的 SMS 簡訊服務，讓使用者的電話帳單爆表。此外，還有偽裝成手機優化程式和休閒小品的 DressCode 資訊竊取程式 (ANDROIDOS_SOCKSBOT.A) 以及偽裝成 Android 作業系統更新和遊戲程式的 Jopsik 間諜程式 (ANDROIDOS_JOPSIK.OPSLB)。

根據趨勢科技企業版行動安全防護所回報的資料，2016 年企業感染最多的是一些可能有害的程式 (如越權廣告程式) 以及間諜程式、銀行木馬程式、Root 改機木馬程式和簡訊木馬程式。偵測數量最多的國家分別為：中國、法國、巴西、德國和波蘭。