駭客會不停地創造更加先進的手法來讓惡意軟體躲避防禦。趨勢科技看到Netwalker勒索病毒 (勒索軟體/綁架病毒)攻擊所用的惡意軟體並無經過編譯,而是用PowerShell編寫並直接在記憶體內執行,不會將實際勒索病毒檔案儲存在硬碟裡。這讓此勒索病毒成為了無檔案病毒(fileless malware),能夠保持持續性並利用系統內工具來進行攻擊而不被偵測。
此類惡意威脅利用被稱為映射(reflective)DLL注入的技術,也被稱為映射DLL載入。這項技術會從記憶體載入DLL而非從硬碟。因此會比一般的DLL注入更加具有隱蔽性,除了不需有實際DDL檔存在硬碟之外,也不需要Windows載入程式就可以進行注入。這樣就不用將DLL登錄為程序載入模組,避免了被DLL載入監控工具偵測。
我們最近看過了駭客利用此技術來部署ColdLock勒索病毒。而現在則看到使用同樣無檔案技術的Netwalker勒索病毒攻擊。惡意PowerShell腳本被偵測為Ransom.PS1.NETWALKER.B。
一波新的針對性攻擊利用新勒索病毒感染了數家台灣企業,我們將這隻勒索病毒稱為 ColdLock。這波攻擊帶有破壞性,因為勒索病毒似乎會針對資料庫和郵件伺服器進行加密。
我們所收集的資料顯示這波攻擊在5月初開始攻擊企業。分析惡意軟體顯示ColdLock與之前的勒索病毒家族Lockergoga,Freezing以及EDA2“教學用”勒索病毒套件間有相似之處。沒有跡象顯示這波勒索病毒攻擊了目標之外的組織。我們不認為這支病毒家族現在有被廣泛的使用。
趨勢科技使用者已經能夠抵禦此威脅,我們將其偵測為Ransom.MSIL.COLDLOCK.YPAE-A和Ransom.PS1.COLDLOCK.YPAE-A。底下的文章會描述此威脅的行為,並描述它與其他勒索病毒威脅的關聯。
繼續閱讀或許是因為許多政府機關在受害之後都願意支付贖金,所以勒索病毒犯罪集團 2019 年才會更密集地攻擊政府單位。 另外,去年有超過 700 家醫療機構遭到勒索病毒攻擊
勒索病毒受害者不僅要應付資料被加密的問題,還要面對資料可能外洩的災難。會自動將受害者的檔案複製到該集團伺服器的「Maze」, 刻意從它們竊取到的 32 GB 資料中釋出 2 GB ,以駁斥媒體宣稱他們只不過偷了幾個檔案而已。
REvil 勒索病毒則經由已遭駭的第三方軟體發動總贖金高達 250 萬美元的聯合攻擊行動
美國聯邦調查局 (FBI) 對於是否該支付贖金,仍維持堅定的否定立場。該局的網路犯罪調查部門引述一個案例指出,受害者原本是希望能支付贖金來取得解密金鑰,沒想到收到的金鑰卻反而讓所有的資料被清得一 乾二淨。
2019 年,勒索病毒犯罪集團改懸易轍,開始針對特定的機構進行攻擊,試圖入侵其關鍵資產、系統和服務 來獲取龐大利潤。策略的轉變促使他們採取一些新奇的技巧來讓他們迅速在受害者的網路內流竄,盡可能散布更多惡意程式。過去一年當中一項值得注意的駭客技巧就是入侵一些鮮少遭到攻擊的企業資源,例如:網域控制器 (Domain Controller) 和 Active Directory 目錄服務,目的是為了造成企業更嚴重的營運中斷,進而迫使企業乖乖就範,讓他們予取予求。
根據趨勢科技 2019 年度資安總評報告,儘管勒索病毒家族的偵測數量較 2018 年減少,但一些新出現的家族更具威脅性:它們不只會加密資料,某些勒索病毒變種還會自動將受害者的檔案複製到遠端,甚至還能躲避資安軟體偵測和終止某些處理程序。
新的 Paradise 勒索病毒正利用 Internet Query Files (IQY) 檔案來散布,該勒索病毒家族過去從未用過這類檔案。
以往通常只有其他惡意程式會利用 IQY 檔案發動攻擊,如 Necurs 殭屍網路就是利用 IQY 檔案來散播 FlawedAmmy 遠端存取工具 (RAT)。此外,Bebloh 和 Ursnif 也會藉由 IQY 和 PowerShell 來散布。
[延伸閱讀:Same Old yet Brand-new:New File Types Emerge in Malware Spam Attachments]
IQY 是 Microsoft Excel 所使用的一種檔案,這種檔案內含有一些網址和其他向網際網路查詢所需的內容。根據 Last Line 研究人員表示,IQY 或許不像 Microsoft Office 其他檔案格式那麼廣為人知,但同樣也可能變成歹徒的武器。此次的攻擊並非利用 Microsoft Excel 的任何漏洞,因此就算是平常都按部就班修補的系統還是有受害的風險。
繼續閱讀