重大資安事件 - 資安趨勢部落格

剖析最強網路犯罪集團 Nefilim :只攻擊營收超過 10 億美元企業的勒索病毒

2021 年 06 月 10 日2021 年 06 月 11 日趨勢科技 TrendMicro

【2021年6月10日，台北訊】全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 今天發表一份關於 Nefilim 勒索病毒集團的研究報告，報告中詳細說明最新勒索病毒攻擊的深入分析與洞見，包含勒索病毒集團的最新發展、他們如何躲避偵測，以及企業如何利用進階多層式偵測及回應為核心的威脅防禦平台來攔截這類威脅。

最新勒索病毒家族的犯案手法，讓原本就已疲於奔命的資安營運中心 (SOC) 和 IT 資安團隊，更難偵測及回應這類威脅。這不僅影響到企業的獲利能力和商譽，更影響到 SOC 團隊日常維運。

閱讀完整報告:「MODERN RANSOMWARE’S DOUBLE EXTORTION TACTICS AND HOW TO PROTECT ENTERPRISES AGAINST THEM」

趨勢科技網路犯罪研究總監 Bob McArdle 表示：「最新勒索病毒攻擊運用了進階持續性滲透攻擊 (APT) 集團長期磨練出來的方法，因此非常具針對性、適應性及隱密性。像 Nefilim 這樣的集團會藉由竊取資料與鎖住企業關鍵系統來勒索一些獲利頂尖的全球企業。這份最新的報告對於每位想要徹底了解這急速成長的地下經濟，以及想知道 Trend Micro Vision One 如何協助企業加以反擊的企業人員來說，都是一份必讀資料。」

在該報告從 2020 年 3 月至 2021 年 1 月所研究的 16 個勒索病毒集團當中，已知受害者數量最多的四大集團分別為：Conti、Doppelpaymer、Egregor 及 REvil。而竊取資料最多的是 Cl0p集團，前後共 5TB 資料存放上線上。

Nefilim 攻擊步驟

繼續閱讀

上膛的武器落入壞人手中：合法工具變成勒索病毒的超級武器

2021 年 06 月 02 日2021 年 05 月 25 日趨勢科技 TrendMicro

這些工具原本是為了資安研究和其他正當用途而開發。但網路犯罪集團卻找到了方法將它們用於勒索病毒攻擊。到底有哪些工具以及它們如何變成武器的呢？

隨著勒索病毒 Ransomware (勒索軟體/綁架病毒)集團不斷擴充軍備，一些潛在的受害企業正面臨越來越高的風險，一旦遭到攻擊就可能帶來嚴重後果。當企業遭到勒索病毒攻擊，除了動輒損失數百萬美元之外，還會造成電腦系統無法使用，甚至導致機敏資料外洩。

近期的勒索病毒攻擊絕大多數都使用雙重勒索手法，一方面將企業的檔案加密，另一方面威脅要將這些資料公開。根據我們的資安預測報告指出，照這樣下去，勒索病毒威脅在 2021 年將更加惡化，因為它們將更具針對性，且會出現更多新的家族 (如 Egregor)。今年，網路犯罪集團將持續利用合法工具來輔助他們發動勒索病毒攻擊。

這些工具本身並非惡意程式，它們大多是為了協助資安研究人員或提高程式效率而開發。但就像許多其他技術一樣，網路犯罪集團就是有辦法找到不法用途，使它們最後成了勒索病毒攻擊、甚至是其他網路攻擊常見的幫兇。英國國家網路安全中心 (National Cyber Security Centre，簡稱 NCSC) 也在一份報告中列舉了這些工具。

網路犯罪集團之所以會在勒索病毒攻擊當中使用這些合法工具的原因有許多，其中之一就是因為這些工具原本就不是惡意程式，因此容易避開資安軟體的偵測。其次，它們大多屬於開放原始碼工具，因此一般大眾都能免費取得與使用。最後，這些工具的強大功能讓資安研究人員很方便，但對犯罪集團來說又何嘗不是，所以也因此讓這些工具成了雙面刃。

本文探討幾個經常遭歹徒利用的合法工具：Cobalt Strike、PsExec、Mimikatz、Process Hacker、AdFind 與 MegaSync。

繼續閱讀

美國最大燃油工業業者Colonial Pipeline 勒索病毒攻擊事件只是開端，如何避免新一波攻擊?

2021 年 05 月 27 日2021 年 05 月 26 日趨勢科技 TrendMicro

勒索病毒在過去這段時間出現了許多變化，希望這篇文章能有助企業防範這波日益升高的攻擊趨勢。

支付1.23 億贖金卻換到不中用解密工具的美國最大燃油管道系統Colonial Pipeline 勒索病毒攻擊事件，只是歹徒正在醞釀的新一波勒索病毒攻擊開端，他們的目標是一些高價值企業。為何會出現這樣的趨勢？

勒索病毒集團的目標其實就是勒索贖金，因此他們會攻擊一些較容易因害怕營運中斷而支付贖金的企業機構。過去，我們看到歹徒會攻擊政府單位和教育機構，歹徒能造成的傷害越大，收到贖金的機率也就越高。

今日的勒索病毒攻擊已經過好幾個階段的演進，我們現在正處於勒索病毒攻擊發展的第四階段。以下摘要說明勒索病毒發展的四個階段：

🔴第 1 階段：單純只有勒索病毒。將檔案加密，留下一封勒索訊息，然後等著收錢 (比特幣)。

🔴第 2 階段：雙重勒索。第 1 階段 + 將資料外傳然後威脅公開資料。Maze 是第一個採用此手法的已知案例，隨後其他犯罪集團也立即跟進。

🔴第 3 階段：三重勒索。第 1 階段 + 第 2 階段，然後再搭配 DDoS 攻擊威脅。Avaddon 是第一個採用此手法的已知案例。

繼續閱讀

Darkside 勒索病毒與美國輸油管攻擊事件

2021 年 05 月 15 日2021 年 05 月 14 日趨勢科技 TrendMicro

5 月 7 日，一起勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊造成負責美國東岸近半數油管運輸的 Colonial Pipeline 公司主動關閉營業，使得汽油、柴油、家用暖氣用油、噴射機用油、軍用油品全部受到嚴重衝擊。美國聯邦機動運輸安全管理局 (Federal Motor Carrier Safety Administration，簡稱 FMCSA) 在全美 18 州發布緊急狀態來緩解油品供應中斷的問題。自駭客攻擊造成 Colonial 營運關閉以來已經過了五天，該公司依舊沒辦法完全恢復營運。

油品供應中斷已經開始影響車輛運輸，在亞特蘭大 (Atlanta) 都會區， 30% 的加油站都無油可賣，其他城市回報的數據也大致如此。為了維持民生必要油品的供應無虞，政府已發布囤積禁令。

美國聯邦調查局 (FBI) 確認此次攻擊的幕後元凶是 Darkside 駭客集團。Darkside 是一個相對較新的勒索病毒家族，首次在 2020 年 8 月現身，但該集團之前就曾經在一些網路犯罪行動當中得逞，因此累積了不少經驗。根據彭博社 (Bloomberg) 的新聞指出，駭客集團除了將 Colonial 公司的電腦系統鎖死之外，還竊取了超過 100GB 的企業資料。這個駭客集團向來慣用這種雙重勒索伎倆，不但會要求受害者支付贖金來解鎖電腦，還會竊取企業的資料並趁機敲詐一筆，如果受害者不乖乖付錢，他們就會公開偷來的資料。我們後面會提到，事實上 Darkside 在網路犯罪集團之間算是相當具有創新能力，率先開發出所謂的「四重勒索服務」。

Trend Micro Research 在網路上蒐集了數十個 Darkside 勒索病毒樣本，並研究了該勒索病毒的運作方式以及它所瞄準的目標。

Darkside 勒索病毒活動時間表

繼續閱讀

趨勢科技協助逮捕 Egregor 勒索病毒犯罪集團

2021 年 04 月 22 日2021 年 04 月 20 日趨勢科技 TrendMicro

三名據稱是 Egregor 勒索病毒 Ransomware (勒索軟體/綁架病毒)犯罪集團成員的嫌犯，二月在法國與烏克蘭政府聯合執行的一項行動當中遭到逮捕。這項逮捕行動是公私部門合作的共同成果，趨勢科技有幸參與其中。

Egregor將勒索病毒銷售或出租給犯罪集團

Egregor 勒索病毒從 2020 年 9 月首次現身以來已發動過多起針對零售業、人力資源服務及其他企業機構的重大攻擊。該集團採用所謂勒索病毒服務 (Ransomware-as-a-service，簡稱 RaaS) 的經營模式，將勒索病毒銷售或出租給其他犯罪集團使用，如此一來，即使是經驗較為不足的犯罪集團也能發動勒索病毒攻擊。Egregor 跟許多知名的勒索病毒一樣採取「雙重勒索」的手法，一方面將受害者的資料加密，另一方面威脅受害者若不支付贖金就將其資料外流。

此勒索病毒通常經由一些遠端存取木馬程式 (如 QAKBOT) 來散布。此外，也會經由含有惡意附件的網路釣魚郵件，或經由遠端桌面協定 (RDP) 或虛擬私人網路 (VPN) 的攻擊漏洞來散布。

繼續閱讀