勒索病毒/勒索軟體 - 資安趨勢部落格

IT 管理平台 Kaseya 遭受 REvil/Sodinokibi 勒索病毒攻擊

2021 年 07 月 07 日2021 年 09 月 13 日趨勢科技 TrendMicro

Kaseya在7月4日（美國國慶日）前夕遭受REvil（又名Sodinokibi）勒索病毒攻擊,驚動白宮。這次攻擊針對他們的本地端 VSA 產品。

惡名昭彰的駭客組織REvil，去年曾先後攻擊台灣多家知名企業,各勒索價值約5000萬美元的加密貨幣。 REvil 一貫的手法就是從受害企業內部竊取大量機敏性資料，並留下暗網地址,讓受害企業前往確認是否為內部資料，若不支付贖金將持續上傳企業機密資料並販售。
根據《美聯社》報導，REvil 之前就成功勒索全球最大肉品加工商JBS約1100萬美元（約新台幣3億400萬元），這次更要求支付相當7000萬美元（約新台幣19億5200萬元）的加密貨幣，就一次解開所有網路攻擊。

更新於美東時間 7 月 5日上午 01 時 48分：Dutch Security Hotline（DIVD CSIRT）已經確認 CVE-2021-30116是勒索攻擊所用的零時差漏洞之一。此 Kaseya 漏洞是在對系統管理工具進行的研究中所發現；在此事件發生前，Kaseya和 DIVD-CSIRT正在合作進行披露的工作。此外，關於 REvil 推動通用解密程式交易的報導也浮出水面。

Kaseya是一家為管理服務商（MSP）和IT公司提供IT管理軟體的公司，在7月4日（美國國慶日）前夕遭受到REvil（又名Sodinokibi）勒索病毒 Ransomware (勒索軟體/綁架病毒)的攻擊，該公司也發出了公告。

該公司稱此為針對其本地端VSA產品的「複雜網路攻擊」。該公司建議其所有客戶關閉其本地端VSA伺服器，直至進一步的通知。

作為保守的安全措施，Kaseya還決定在調查期間關閉其軟體即服務（SaaS）伺服器。

繼續閱讀

應對洗劫數百萬美元的勒索病毒,企業的七個預防對策

2021 年 06 月 30 日2021 年 06 月 21 日趨勢科技 TrendMicro

聲譽良好、經營穩建、市值規模較大的,所謂藍籌企業(Blue-chip businesses )並非是近日唯一遭受勒索病毒重創的企業。其對業務連續性的威脅也可能對消費者造成連鎖反應，Colonial Pipeline的石油管道暫時關閉後出現的大量燃料囤積事件就證明了這一點；此外，當全球最大肉類生產商JBS的數家工廠停止生產以調查網路攻擊時，人們也都預期會出現肉類短缺。雖然兩者都迅速地恢復了營運，但並非全無代價。Colonial Pipeline一開始付給了DarkSide超過440 萬美元，其中有大部分可以在之後取回。而JBS則是決定支付REvil 1,100 萬美元以保護他們的客戶，即便他們已經自行恢復了大部分系統。本文裡概述了如何避免遭受網路犯罪份子洗劫的最佳實作和對策。

勒索病毒與大企業間的故事由來已久，眾所周知，惡意駭客會將目標放到財力雄厚的目標以求豐厚的回報：最近一連串針對企業的勒索病毒HYPERLINK “http://blog.trendmicro.com.tw/?p=12412” Ransomware (勒索軟體)攻擊突顯出網路勒索攻擊會如何造成大規模營運中斷並打亂全球的供應鏈。在今年五月，美國最大石油管道公司Colonial Pipeline被迫關閉部分系統以控制住網路犯罪集團DarkSide所造成的勒索病毒爆發 – 這次攻擊竊取了他們100 GB的資料。全球最大的牛肉供應商JBS也在幾週後遭遇REvil集團類似的攻擊，癱瘓了他們的電腦系統。

根據趨勢科技關於勒索病毒的最新報告，REvil和DarkSide都列在竊取和外洩網路資料量最大的勒索病毒榜單上，如圖1所示。

繼續閱讀

剖析最強網路犯罪集團 Nefilim :只攻擊營收超過 10 億美元企業的勒索病毒

2021 年 06 月 10 日2021 年 06 月 11 日趨勢科技 TrendMicro

【2021年6月10日，台北訊】全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 今天發表一份關於 Nefilim 勒索病毒集團的研究報告，報告中詳細說明最新勒索病毒攻擊的深入分析與洞見，包含勒索病毒集團的最新發展、他們如何躲避偵測，以及企業如何利用進階多層式偵測及回應為核心的威脅防禦平台來攔截這類威脅。

最新勒索病毒家族的犯案手法，讓原本就已疲於奔命的資安營運中心 (SOC) 和 IT 資安團隊，更難偵測及回應這類威脅。這不僅影響到企業的獲利能力和商譽，更影響到 SOC 團隊日常維運。

閱讀完整報告:「MODERN RANSOMWARE’S DOUBLE EXTORTION TACTICS AND HOW TO PROTECT ENTERPRISES AGAINST THEM」

趨勢科技網路犯罪研究總監 Bob McArdle 表示：「最新勒索病毒攻擊運用了進階持續性滲透攻擊 (APT) 集團長期磨練出來的方法，因此非常具針對性、適應性及隱密性。像 Nefilim 這樣的集團會藉由竊取資料與鎖住企業關鍵系統來勒索一些獲利頂尖的全球企業。這份最新的報告對於每位想要徹底了解這急速成長的地下經濟，以及想知道 Trend Micro Vision One 如何協助企業加以反擊的企業人員來說，都是一份必讀資料。」

在該報告從 2020 年 3 月至 2021 年 1 月所研究的 16 個勒索病毒集團當中，已知受害者數量最多的四大集團分別為：Conti、Doppelpaymer、Egregor 及 REvil。而竊取資料最多的是 Cl0p集團，前後共 5TB 資料存放上線上。

Nefilim 攻擊步驟

繼續閱讀

上膛的武器落入壞人手中：合法工具變成勒索病毒的超級武器

2021 年 06 月 02 日2021 年 05 月 25 日趨勢科技 TrendMicro

這些工具原本是為了資安研究和其他正當用途而開發。但網路犯罪集團卻找到了方法將它們用於勒索病毒攻擊。到底有哪些工具以及它們如何變成武器的呢？

隨著勒索病毒 Ransomware (勒索軟體/綁架病毒)集團不斷擴充軍備，一些潛在的受害企業正面臨越來越高的風險，一旦遭到攻擊就可能帶來嚴重後果。當企業遭到勒索病毒攻擊，除了動輒損失數百萬美元之外，還會造成電腦系統無法使用，甚至導致機敏資料外洩。

近期的勒索病毒攻擊絕大多數都使用雙重勒索手法，一方面將企業的檔案加密，另一方面威脅要將這些資料公開。根據我們的資安預測報告指出，照這樣下去，勒索病毒威脅在 2021 年將更加惡化，因為它們將更具針對性，且會出現更多新的家族 (如 Egregor)。今年，網路犯罪集團將持續利用合法工具來輔助他們發動勒索病毒攻擊。

這些工具本身並非惡意程式，它們大多是為了協助資安研究人員或提高程式效率而開發。但就像許多其他技術一樣，網路犯罪集團就是有辦法找到不法用途，使它們最後成了勒索病毒攻擊、甚至是其他網路攻擊常見的幫兇。英國國家網路安全中心 (National Cyber Security Centre，簡稱 NCSC) 也在一份報告中列舉了這些工具。

網路犯罪集團之所以會在勒索病毒攻擊當中使用這些合法工具的原因有許多，其中之一就是因為這些工具原本就不是惡意程式，因此容易避開資安軟體的偵測。其次，它們大多屬於開放原始碼工具，因此一般大眾都能免費取得與使用。最後，這些工具的強大功能讓資安研究人員很方便，但對犯罪集團來說又何嘗不是，所以也因此讓這些工具成了雙面刃。

本文探討幾個經常遭歹徒利用的合法工具：Cobalt Strike、PsExec、Mimikatz、Process Hacker、AdFind 與 MegaSync。

繼續閱讀