台灣受勒索病毒攻擊超過2千萬次 幾近台灣總人口數! 趨勢科技公佈六大病毒鬼,詐騙勒索錢財、竊取帳號個資為最駭

趨勢科技 PC-cillin 2018雲端版 智能防毒超進化 跨平台全面抵禦資安威脅

台灣受勒索病毒攻擊超過2千萬次 幾近台灣總人口數! 趨勢科技公佈六大病毒鬼,詐騙勒索錢財、竊取帳號個資為最駭

【2017年9月19日台北訊】數位科技進步使人類生活更加便利,每個人擁有至少一台以上的3C裝置已為常態,跨平台跨裝置的訊息溝通,或使用數位裝置進行線上購物或網銀交易已高度普及;隨著駭客持續以新舊攻擊手法如透過勒索病毒取財或釣魚信件竊取個資,消費者對於個人重要資料的保護更需隨之升級,以防遭受錢財損失或個資外洩的資安威脅衝擊。全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今日(19)宣布全新版『PC-cillin 2018 雲端版』隆重上市,透過防禦力、效能與跨平台防護強化升級,智能防毒超進化,全方位守護消費者資訊安全Level Up!

 

台灣為駭客鎖定目標,勒索病毒攻擊總次數超過2千萬次

惡意程式變種快速,近年影響消費者甚鉅的勒索病毒更是惡名昭彰,例如今年五、六月影響全球的WannaCryPetya勒索蠕蟲,而針對Mac電腦或手機裝置的新型態勒索病毒也不斷產生。根據趨勢科技統計數據顯示,過去一年半台灣受勒索病毒攻擊的總數已超過2千萬次!受攻擊人口密度居全球前三,僅次於以色列與奧地利。趨勢科技台灣暨香港區總經理洪偉淦表示:「隨著數位科技的快速普及,消費者樂於擁抱不同介面或作業系統的多元平台,各種針對性以牟利為目標的新型態資安威脅亦應勢而生,此也意味著資訊安全的威脅如勒索病毒的狂潮將不會停歇。」

 

網路逛多了總會碰到虛擬鬼,趨勢科技公佈網友票選最怕六大病毒鬼

網路世界中的病毒就像虛擬好兄弟,雖然看不見但無所不在!趨勢科技針對1000名台灣網友票選出最可怕的六大病毒鬼排名及台灣消費者最容易被這些「病毒鬼」盯上的上網行為模式: Continue reading “台灣受勒索病毒攻擊超過2千萬次 幾近台灣總人口數! 趨勢科技公佈六大病毒鬼,詐騙勒索錢財、竊取帳號個資為最駭”

趨勢科技2017年上半年資安總評報告出爐  勒索病毒、變臉詐騙猖獗 IoT攻擊數量不斷攀升

企業務必投資適當的網路資安防禦 資安防禦升級

 【2017年9月12日台北訊】 全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天發表「2017 上半年資安總評:駭客入侵的代價」研究報告,詳細說明了 2017 上半年企業依然不斷遭遇營運中斷與資安上的挑戰,面臨日益增加的勒索病毒、變臉詐騙 (BEC) 以及物聯網 (IoT) 相關攻擊。除此之外,一種新的威脅「網路宣傳 (Cyber Propaganda)」 對企業商譽的影響力也不容小覷。

今年上半年,趨勢科技共偵測到近8,300 萬個勒索病毒威脅,以及 3,000 次變臉詐騙嘗試攻擊,更加突顯資安的重要性。儘管資安占企業 IT 預算的比例越來越高,但根據最近一份由 Forrester 所做的分析報告[1] 指出,這些預算並未妥善分配,無法解決企業日益面臨的威脅。

趨勢科技資訊長鄭奕立指出:「企業預算必須優先花在有效的資安防禦,因為一旦遭駭客入侵,其代價通常不是企業預算能夠負擔的。今年,重大網路攻擊事件依舊是全球企業的敏感話題,而這股趨勢很可能一直持續到年底。企業最重要的就是要改變思維,別再將資安視為單純的資訊安全措施,而是一種對企業未來的投資。」

病毒警告 警訊

Continue reading “趨勢科技2017年上半年資安總評報告出爐  勒索病毒、變臉詐騙猖獗 IoT攻擊數量不斷攀升”

美國政府單位網站發現 Cerber 勒索病毒

美國國家野火應變調度小組 (National Wildfire Coordinating Group,簡稱 NWCG) 的網站被人發現暗藏一個 JavaScript 檔案下載器,專門散布 Cerber 勒索病毒。發現該問題的資安研究人員 Ankit Anubhav 表示,該網站上提供的一個 .zip 壓縮檔案內含一個 JavaScript 會執行一段經過加密編碼的 PowerShell 腳本。當 PowerShell 執行時,會去下載一個偽裝成 GIF 圖片的 Cerber 執行檔。

目前仍不清楚駭客如何在該網站植入此勒索病毒,也不曉得是否有任何瀏覽該網站的訪客遭到感染。有可能是該網站遭到駭客入侵,或者該網站儲存了一些含有惡意程式的電子郵件附件壓縮檔。

在該網站上發現的變種與 Cerber 第 6 版都是利用社交工程電子郵件挾帶含有惡意 JavaScript 檔案的附件壓縮檔。從趨勢科技所分析到的 JavaScript 檔案中,我們看到三種感染電腦的方式:直接下載惡意檔案來執行、建立排程工作讓病毒延遲兩分鐘後再執行、執行一個內嵌的 PowerShell 腳本。

圖 1:Cerber 6 感染過程。

Anubhav 在 Twitter 上公布這項發現之後,幾小時內該惡意程式的連結就已被移除。 Continue reading “美國政府單位網站發現 Cerber 勒索病毒”

二萬多個 MongoDB 資料庫遭駭客攻擊

最新一波勒索病毒攻擊鎖定的目標是 MongoDB 資料庫,全球已有數以萬計的伺服器受害。根據媒體報導,有多個駭客集團共同策劃了這一波攻擊,其中一個集團已經駭入了 22,000 台伺服器

駭客專門攻擊可公開存取並採用預設值設定的資料庫,他們不僅會刪除資料,還會將資料替換成勒索訊息:

We have your data. Your database is backed up to our servers. If you want to restore it, then send 0.15 BTC [$650] and text me to email, just send your IP-address and payment info. Messages without payment info will be ignored.」(你的資料在我們手上,我們已經將資料備份到我們的伺服器。如果你想要回資料,就匯 0.15 個比特幣 [約 650 美元] 給我,並用電子郵件把你的 IP 位址和付款資訊寄給我。郵件內若無付款資訊我們將會忽略。) Continue reading “二萬多個 MongoDB 資料庫遭駭客攻擊”

「客製化」勒索病毒Defray,最愛的四個產業

勒索病毒最愛的醫療保健、教育、製造及科技組織

到處肆虐的勒索病毒 Ransomware (勒索軟體/綁架病毒)一般是以「亂槍打鳥」的方法感染,新興勒索病毒 Defray (由趨勢科技偵測到的 RANSOM_DEFRAY.ARANSOM_DEFRAY.B) 則鎖定特定攻擊目標。報告指出,Defray 散播者利用量身訂製的社交工程(social engineering )手法,將目標鎖定在勒索病毒最愛的醫療保健、教育、製造及科技組織,特別是醫療保健業

defray ransom

Defray 冒充「醫院 IT 管理者」,寄送病患報告

Defray 和大多數的勒索病毒一樣,透過網路釣魚(Phishing)電子郵件散播,它會嘗試強迫受害者下載惡意檔案。2016 年趨勢科技報告指出電子郵件是最常見的進入點,有 79% 勒索病毒來自垃圾郵件。

Defray冒充「醫院 IT 管理者」偽裝寄送病患報告的網路釣魚電子郵件。趨勢科技也發現有些網路釣魚郵件,偽裝成一家英國的水族公司,要求收件者報價或訂購產品,而惡意檔案上附有「官方」標誌。這些郵件的針對性及細節清楚顯示,攻擊者努力讓攻擊目標相信其真實性,而量身訂製的誘餌,顯示攻擊者正在鎖定更具體的攻擊目標。 Continue reading “「客製化」勒索病毒Defray,最愛的四個產業”

勒索病毒藏在你的口袋裡趴趴走嗎?

近幾個月來,WannaCry(想哭)勒索蠕蟲 及 NotPetya 勒索病毒攻擊再度引起滿城風雨,讓人更審慎思考造成這些威脅的原因,許多領導廠商也再度推行資安防護,防範電腦漏洞。不過,有另一種極容易遭到勒索病毒入侵的端點可能被忽略了,說不定您口袋裡就有一個。

行動裝置比桌上型電腦更難監管

在 BYOD 或 COPE 政策開始施行後,在工作場所中使用智慧型手機、平板電腦等個人行動裝置的接受度越來越高,導致 IT 必須耗費大量心力來適切地控管這類硬體。然而行動裝置比桌上型電腦更難監管,勒索病毒的技術又越發精密,如果使用者未加警覺,就有可能受害。勒索病毒的攻擊目標逐漸鎖定行動裝置,但企業和員工卻沒有做足自我保護措施。

Mobile ransomware impacts device and business security.

2017年第一季行動勒索病毒較前一季翻3.5

2016 年被稱為勒索病毒之年,現在看來 2017 年不但承其基業,而且規模更勝以往。勒索病毒常發展出新變種,盡其所能威脅更多人。根據業界報告,2017 年第一季偵測到超過 218,000 個行動勒索病毒檔案,而前一季僅有 61,000 個。其中有高達 86% 的攻擊來自於 Congur 系列的勒索病毒,會在發動後重設裝置密碼,讓駭客取得管理員權限,有部分變種相當難以移除,因此該台裝置未來仍有被脅迫的風險。

行動勒索病毒會影響裝置和企業的安全性

行動勒索病毒的運用量持續上升,是不容忽視的威脅,有些駭客可能會要求 100 至 500 美元不等的贖金來解鎖裝置,但無法保證他們是否真會履行約定,而且駭客可能會再次將受害者當成目標。2016 年,駭客的攻擊行動賺進了 10 億美元,對企業造成不小的損失,而且還有合規問題和名譽受損的後果需要善後。企業領導者和員工必須學會辨識行動勒索病毒、瞭解其如何感染系統,以及該如何有效地保護自己。 Continue reading “勒索病毒藏在你的口袋裡趴趴走嗎?”

磁碟加密勒索病毒 HDDCryptor 變種, 根據感染規模來調整受害者的贖金

磁碟加密勒索病毒HDDCryptor的變種(趨勢科技偵測為RANSOM_HDDCRYPTOR.AUSE據報在巴西和沙烏地阿拉伯感染了許多受害者。它跟2016年11月攻擊舊金山市政交通局(SFMTA)的磁碟加密惡意軟體是同一個家族,當時迫使公共交通系統手動分配路線,並打開票閘以防止運作停擺。

HDDCryptor(也被稱為Mamba)在去年9月首次出現。它可以加密透過SMB分享的網路資源,包括網路磁碟、資料夾、檔案、印表機和序列埠。它惡意使用一些免費軟體、開放原始碼軟體和商用軟體來搞亂磁碟及掛載的SMB磁碟,並且用修改過的開機引導程式(bootloader)覆寫主開機記錄(MBR),進而鎖住受感染電腦的硬碟。受感染系統重新啟動後會顯示勒贖通知而非正常的登入畫面。

[延伸閱讀:勒索病毒造成藍色當機畫面:HDDCryptor使用商業工具來加密網路分享和鎖住硬碟 ]

 

它的感染載體讓人聯想到其他家族(如CrysisErebus Linux勒索病毒),會利用漏洞攻擊來在植入並執行惡意軟體前先取得管理員權限。到了11月下旬,HDDCryptor更新使用了更加精簡的加密程序及防沙箱和反除錯功能,更能夠去躲避防毒和其他偵測技術。

[延伸閱讀:<勒索病毒> 已從中毒電腦移除,還能再度感染系統 ! Crysis 透過暴力破解遠端桌面協定(RDP)散播]

 

HDDCryptor修改受感染系統的MBR以顯示勒贖通知

 

開放原始碼磁碟加密軟體DiskCryptor的憑證和簽章,它是被HDDCryptor利用的工具之一 Continue reading “磁碟加密勒索病毒 HDDCryptor 變種, 根據感染規模來調整受害者的贖金”

勒索病毒盛行年代,企業的四個防護對策 

Despite efforts on the part of enterprises to educate staff and enhance their ability to prevent infection, ransomware attacks still persist.勒索病毒 Ransomware (勒索軟體/綁架病毒)無疑是企業最懼怕的威脅之一,企業組織擁有眾多的數位化資料、重要應用程式和其他系統,這些關鍵資產一旦存取中斷,將迅速對造成災難。

儘管企業努力教育員工,提升人員預防感染的能力,但勒索病毒攻擊仍層出不窮。值此時刻,企業不只要迅速應對當下的威脅,也要對未來的防護有所對策。

勒索病毒:簡史

根據趨勢科技的調查白皮書「勒索病毒的過去、現在及未來」(Ransomware: Past, Present and Future) 指出,第一個勒索病毒樣本出現在 2000 年代中期,自此成為網路犯罪社群最主要的勒索工具。許多早期出現的勒索病毒運作方式跟現在剛發現的新樣本類似,在滲透受害者的系統後,對重要的檔案和資料進行加密,除了擁有解密金鑰的駭客以外,任何人均無法存取。接著攻擊者會要求贖金,通常是用無法追蹤的比特幣交付,以安全贖回檔案。

攻擊的後果大不相同:有些組織支付贖金後,檔案便解密且恢復存取。有些受害者則沒這麼好運,就算支付了贖金,也永遠拿不回遭竊的資料。

勒索病毒在 2005 與 2006 年時主要以俄羅斯的受害者為攻擊目標,直到 2012 年才擴散到其他歐洲國家。當時的攻擊者小心掩飾其蹤跡,要求透過 paysafecard 和 MoneyPak 等付款方式來交付贖金,以藏匿其惡意活動。

根據趨勢科技的調查,有些早期的勒索病毒攻擊多是為了惡作劇,利用仿真的假冒警告來說服使用者交付贖金。其他樣本則使用真正的螢幕鎖,讓使用者無法跳脫通知視窗。

 

勒索病毒家族成長達到驚人的 752%

752% 增加率: 2015 年發現 29 個不同的勒索病毒家族,到 2016 年暴增到 247 個,增幅達到驚人的 752%。

Ransomware has seen a meteoric rise.

2013 年「crypto-ransomware」現身,包括最新惡名昭彰的 CryptoLocker。這些感染變得極度危險,除了加密資料,阻擋存取,這些樣本甚至還能在未交付贖金但超過截止期後刪除加密的檔案。

網路罪犯針對未備份資料的大型企業進行攻擊,最高獲利贖金高達 10 億美元 Continue reading “勒索病毒盛行年代,企業的四個防護對策 “

在加密檔案之前,先偷儲存在瀏覽器上的密碼 ! Cerber 勒索病毒再進化,連比特幣錢包也遭殃

自去年以來透過惡意廣告散播, 把台灣當主戰場的 Cerber勒索病毒,又有新變種了,Cerber 現已成為當今家喻戶曉且演化速度最快的勒索病毒家族。就在今年五月,我們才介紹過該病毒的六個演化版本的行為演變。沒過幾個月,現在又出現了新的演化版本,而這一次則是除了增加竊取數位貨幣的行為外,還會在加密檔案之前,試圖偷取 Internet Explorer、Google Chrome 及 Mozilla Firefox 等瀏覽器儲存在電腦上的密碼,將資料傳送至駭客的幕後操縱 (C&C) 伺服器。

在加密檔案之前,先偷儲存在瀏覽器上的密碼 ! Cerber 勒索病毒再進化,連比特幣錢包也遭殃

勒索病毒廣闢財源

然而整體上,這波 Cerber 病毒是經由電子郵件附檔散布:

圖 1:Cerber 勒索病毒的電子郵件。

這個 JavaScript 附件檔案就是趨勢科技偵測到的 JS_NEMUCOD.SMGF2B 惡意程式,它會從網路上下載 Cerber 的變種,也就是 RANSOM_HPCERBER.SMALY5A。此 Cerber 變種基本上與先前我們五月所發現的版本相同,只不過多了一項新的行為,那就是竊取比特幣(Bitcoin)錢包。

其鎖定竊取的比特幣錢包有三種:第一種是比特幣官方的 Bitcoin Core 錢包,另外兩種是第三方的 Electrum 和 Multibit 錢包。其作法是直接偷取比特幣錢包應用程式的對應檔案:

  • dat (Bitcoin)
  • *.wallet (Multibit)
  • dat (Electrum)

此處有兩點值得注意。第一,竊取這些檔案並不代表就能取得錢包內的比特幣。歹徒仍須取得用來開啟錢包的密碼。第二,Electrum 從 2013 年晚期即不再使用 electrum.dat 檔案。

在檔案加密「之前」,先偷儲存在瀏覽器上的密碼

不過,新的 Cerber 變種所竊取的資訊還不只這些,它還會試圖偷取 Internet Explorer、Google Chrome 及 Mozilla Firefox 等瀏覽器儲存在電腦上的密碼。值得注意的是這些竊取資訊的行為都是發生在勒索病毒開始將系統上的檔案加密「之前」。 Continue reading “在加密檔案之前,先偷儲存在瀏覽器上的密碼 ! Cerber 勒索病毒再進化,連比特幣錢包也遭殃”

LeakerLocker 勒索病毒不加密檔案,但威脅洩漏手機個資

眾所皆知,勒索病毒 Ransomware (勒索軟體/綁架病毒)最主要的勒贖手段是將受害者的檔案加密 (如近期出現的 SLocker),然而,最近卻出現了一個名為 LeakerLocker 的新形態手機勒索病毒會將受害者手機上的個人資料傳送至遠端伺服器然後要求受害人支付贖金,否則就將資料發送給通訊錄中的每一個人。

透過三個 Google Play上的應用程式散布:「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)

這個 LeakerLocker 勒索病毒目前是透過三個 Google Play 商店上的應用程式來散布:「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)。三個應用程式目前皆已被 Google Play 商店下架,趨勢科技將該病毒命名為:ANDROIDOS_LEAKERLOCKER.HRX。儘管並無證據顯示這些應用程式是由同一作者所撰寫,但這樣的可能性卻很高,因為它們全都散布同一個勒索病毒。除此之外,我們也在 Google Play 商店上發現一些名稱相似的應用程式,雖然我們仍不確定它們與前述惡意程式有何關聯,但我們已經將這些應用程式通報給 Google。

本文將深入探討前述名為「Calls Recorder」的應用程式說明一下這個 LeakerLocker 勒索病毒。

技術層面分析

 我們很快地分析了一下 LeakerLocker 之後發現它的感染過程如下:

 A quick glance at LeakerLocker reveals the following infection vector:

Figure 1

Figure 1: LeakerLocker infection diagram

圖 1:LeakerLocker 感染過程示意圖。

Calls Recorder 應用程式本身是經由 Google Play 下載,在本文發布時,該應用程式已經遭到下架,而我們也早已將前述應用程式通報給 Google。

Figure 2

圖 2:Google Play 商店上的「Calls Recorder」程式。

親友團不夠龐大,惡意程式將會自動退出

當「Calls Recorder」應用程式下載並安裝到使用者裝置之後,首先會查看手機上的聯絡人、相片、通話記錄等等來檢查其數量是否超過一定門檻。換句話說,若受害手機上沒有太多聯絡人、照片、通話記錄的話,惡意程式將會放棄而中止執行。

Figure 3

圖 3:檢查聯絡人、相片和通話記錄數量的程式碼。

每 15 分鐘察言觀色再行動

Continue reading “LeakerLocker 勒索病毒不加密檔案,但威脅洩漏手機個資”