最近趨勢科技發現了一個 Negasteal 惡意程式 (亦稱 Agent Tesla) 的變種,會經由 hastebin 以無檔案病毒(fileless malware)方式散布 Crysis 勒索病毒 (亦稱為 Dharma)。這是我們首次發現 Negasteal 會散布勒索病毒。
就在幾個月前,Deep Instinct 披露了第一個使用 hastebin.com 來散布惡意內容的 Negasteal 變種。Negasteal 是 2014 年被發現的間諜程式,採用付費訂閱方式在網路犯罪地下論壇提供服務,其幕後集團隨時都在精進其躲避技巧以維持市場地位。
Crysis 則是一個涉及多起知名攻擊的勒索病毒,一直在不斷推出新的變種以及各種不同技巧。Crysis 也跟 Negasteal 類似,採用付費服務的方式來經營,提供所謂的勒索病毒服務 (RaaS) 供其他犯罪集團使用。
這是趨勢科技第一次看到這兩個惡意程式服務結合在一起。根據我們蒐集到樣本顯示,此變種是經由網路釣魚郵件散布,如圖 1 所示:
Egregor是一種複雜的勒索病毒 Ransomware (勒索軟體/綁架病毒),在2020年9月首次出現,接著參與許多知名的攻擊,目標包括了大型零售業者及其他組織。
在2020年底,Maze勒索病毒(近期最惡名昭彰的勒索病毒家族之一)背後組織宣布關閉運作。不過就在Maze退役後不久,被稱為Egregor的勒索病毒就跟著接班,據稱已成為之前Maze勒索病毒聯盟夥伴,繼續駭人的首選勒索病毒。Egregor跟Maze一樣使用了「雙重勒索」技術,駭客不僅威脅受害者不支付贖金將會失去資料,而且還會公開其資料。
◼2021/1/8 更新:美國聯邦調查局(FBI)對企業發出警告,要當心 Egregor 勒索軟體。
Egregor是一種複雜的勒索病毒,在2020年9月首次出現,接著參與許多知名的攻擊,目標包括了大型零售業者及其他組織。
2020 年底智利最大零售集團 Cencosud 遭到 Egregor 勒索,收銀機檔案被加密後,還不斷印出勒索訊息。(如下圖)
El #ransomware que le pegó a Cencosud es #Egregor. La ransom note empezó a salir en las impresoras de varios locales de Argentina y Chile pic.twitter.com/k1Ps4IDUyq
— Irlenys (@Irlenys) November 15, 2020
這隻勒索病毒通常會跟QAKBOT之類的遠端訪問木馬(RAT)一起派送。而QAKBOT之前也被發現跟MegaCortex和ProLock勒索病毒家族有關,這顯示QAKBOT和Egregor間可能存在合作關係,或者是QAKBOT組織的新病毒。
跟 Ryuk 等新型勒索病毒家族使用的雙重勒索技術類似,Egregor 威脅要公開被竊資料來迫使受害者付款。除了加密資料外,Egregor幕後駭客也威脅要通知媒體,來公開企業遭受入侵的消息。
繼續閱讀2020 年,勒索病毒 Ransomware (勒索軟體/綁架病毒)威脅對製造業造成了極大的衝擊,而且今年第 3 季出現了一股令人憂心的趨勢,那就是勒索病毒集團似乎專挑製造業下手。
根據趨勢科技 Smart Protection Network™ 的資料顯示,勒索病毒集團的衝擊遍布各種產業。
製造業生產線的廠房到處都是大型機具:組裝設備、熔爐、馬達等等。而隨著科技不斷進步,再加上工業 4.0 的潮流,生產線與營運系統開始導入了電腦設備。從此,這些大型工業機具便透過電腦來操作及監控,然後這些電腦還會與網路及其他電腦連接並互相傳遞資料。
繼續閱讀網路犯罪分子最近集中火力在對零售業發動勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊,如果企業在這重要的購物季節被打亂了運作,可能會帶來災難性的後果。
網路犯罪分子最近集中火力在對零售業發動勒索病毒攻擊,如果企業在這重要的購物季節被打亂了運作,可能會帶來災難性的後果。
從短期來看,零售業遭遇勒索病毒攻擊代表成千上萬銷售機會的損失。黑色星期五、網路星期一和聖誕節一向是零售業一年中最忙碌的時間。因為有著眾多的選擇,消費者並不缺少買東西的地方。如果業者無法提供滿意的服務,那麼消費者就會轉向其他地方購買。
而更大的損害可能是在商譽方面。POS交易失敗、貨物送達時間過長及”不安全”的印象可能會讓客戶轉向能夠提供更好、更安全購物體驗的競爭對手。
Egregor是一種複雜的勒索病毒,在2020年9月首次出現,接著參與許多知名的攻擊,目標包括了大型零售業者及其他組織。
2020 年底智利最大零售集團 Cencosud 遭到 Egregor 勒索,收銀機檔案被加密後,還不斷印出勒索訊息。(如下圖)
El #ransomware que le pegó a Cencosud es #Egregor. La ransom note empezó a salir en las impresoras de varios locales de Argentina y Chile pic.twitter.com/k1Ps4IDUyq
— Irlenys (@Irlenys) November 15, 2020
從趨勢科技Smart Protection Network提供的資料可以看出有許多勒索病毒被用來攻擊零售業者。Sekhmet是隻相對較新的勒索病毒,具備更強的反混淆能力,在我們的資料中是偵測數第二多的勒索病毒。儘管對Sekhmet所知不多,但據報它已經成功感染了數家組織。這隻勒索病毒特別令人震驚的是,除了會加密檔案,攻擊者還威脅要公開被竊數據 – 對未支付贖金要求的受害者造成雙重打擊。對零售業者來說,這意味著它可能會洩漏客戶資料,進一步損害商譽,甚至造成法律後果。
某些Sekhmet變種是以勒索病毒即服務(RaaS)的形式提供,這代表了不僅是作者會使用它,所以可能在未來出現更多該勒索病毒及變種的攻擊。
繼續閱讀有別於其他勒索病毒集團「亂槍打鳥」的方式,Ryuk 勒索病毒集團會鎖定特定目標,並索取較高的贖金。由於 Ryuk 犯罪集團的目標通常是一些 極為敏感的資訊,並且專門鎖定金融和國防之類的產業,因此受害機構通常會在不得已的情況下支付一筆巨額贖金。
隨著資安情勢的發展,今日的威脅經常會同時衝擊企業營運基礎架構的多重層面。為了偵測及回應像這樣的攻擊,企業通常會採用各種專為個別層面而非整體系統而設計的資安工具。
有些企業會導入資安事件管理 (SIEM) 平台來協助他們彙整每天遭遇到的各種威脅。這樣的作法雖然有效,但 SIEM 系統的價格和營運成本卻很高。此外,企業還得靠資安營運中心 (SOC) 來過濾大量的資料以進行交叉關聯分析。至於一些其他的資安解決方案,雖然各個都具備強大的偵測及回應能力,但卻缺乏完整的監測資料來看到威脅的全貌。
為了讓大家了解今日 SOC 所面臨的威脅,以及他們需要什麼樣的資安解決方案好應付這類威脅,以下此提供一個真實案例來說明。
繼續閱讀