勒索病毒/勒索軟體 - 資安趨勢部落格

Nemty勒索病毒可能透過暴露的遠端桌面連線散播

2019 年 09 月 05 日2019 年 09 月 06 日趨勢科技 TrendMicro

最近出現了一個新的勒索病毒 Ransomware 家族，會使用副檔名 – Nemty進行加密。根據Bleeping Computer的一份報告，位在紐約的逆向工程師Vitali Kremez認為Nemty可能是通過暴露的遠端桌面連線散播。

雖然利用RDP來派送勒索病毒並非新鮮事，但跟網路釣魚技術比起來，這顯然是種更加危險的散播方法。一旦網路犯罪分子取得了較高的系統權限，就能夠自由進入系統，在使用者不知情下發動攻擊，就如同之前的SAMSAM勒索病毒一樣。

在2017年，惡意份子散播 Crysis勒索病毒到澳洲及紐西蘭中小企業及大型組織所用的方式就是RDP暴力破解攻擊。這類威脅不僅只是影響企業；趨勢科技監測技術從2018年開始就在家用電腦及個人裝置上偵測到超過 3,500萬次的暴力破解攻擊 – 其中有 85%是針對RDP。

繼續閱讀

專門攻擊 QNAP 網路儲存裝置的 eCh0raix 勒索病毒

2019 年 07 月 17 日2019 年 07 月 16 日趨勢科技 TrendMicro

最近出現了一個專門攻擊 QNAP 品牌網路儲存 (NAS) 裝置的勒索病毒/勒索軟體 (家族。這個由威脅情報平台供應商 Anomali 的資安研究人員命名為「eCh0raix」的勒索病毒 (趨勢科技命名為 Ransom.Linux.ECHORAIX.A)，據報是專為針對性攻擊而設計的勒索病毒，與之前的 Ryuk 或 LockerGoga 的用途相似。

NAS 裝置是一種專門用來儲存、備份、分享檔案的連網裝置，可作為資料的集散中心，方便所有使用者存取資料。對許多企業機構來說，這是一種低成本、可擴充的儲存解決方案。據統計，約有 80% 的企業機構皆使用這類裝置。

[延伸閱讀：Narrowed Sights, Bigger Payoffs: Ransomware in 2019]

eCh0raix 分析

eCh0raix 勒索病毒是採用 Go/Golang 程式語言所撰寫，這是一種逐漸被用於開發惡意程式的語言。eCh0raix 會藉由語言地區檢查來判斷 NAS 裝置的所在位置，如果位於獨立國協 (CIS) 的某些國家境內，如：白俄羅斯、烏克蘭和俄羅斯，eCh0raix 就會終止執行。eCh0raix 可加密的檔案包括：文件、文字檔、PDF、壓縮檔、資料庫、多媒體檔案等等。

繼續閱讀

2019 下半年勒索病毒將如何發展？

2019 年 07 月 15 日2019 年 07 月 11 日趨勢科技 TrendMicro

勒索病毒 Ransomware (勒索軟體/綁架病毒)已成為一種時時刻刻都在演變的惡意程式家族，多年來已出現過多次轉型：從最早的假防毒軟體( Fake AV)，到後來的警察勒索程式，再到今日常見的加密勒索病毒，這項威脅至今仍無消退的跡象。就最近的趨勢來看，趨勢科技預料這項威脅在今年下半年仍將不斷擴張。

多年來，趨勢科技一直持續追蹤勒索病毒的相關情報，以下整理出這幾年所看到的一些變化：

勒索病毒偵測數量逐年比較，資料來源：趨勢科技 Smart Protection Network™

2016年: 1,078,091,703
2017年: 631,128,278
2018年: 55,470,005
2019 年 (1 至 5 月): 43,854,210

新勒索病毒家族數量逐年比較

2016年 : 247
2017年 :327
2018年: 222
2019年 (1 至 5 月): 44

從上述資料可以看出，勒索病毒集團在 2016 和 2017 年間非常活躍，不論是攻擊數量或新勒索病毒家族與新變種的開發。2018 年，我們發現這兩項數字雙雙減少，推測有兩點原因：

繼續閱讀

勒索病毒導致美國俄亥俄州巴爾的摩郡政府以及兩家醫療機構服務暫時中斷

2019 年 06 月 25 日2019 年 06 月 26 日趨勢科技 TrendMicro

最近發生了一波勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊造成美國俄亥俄州巴爾的摩 (Baltimore) 郡與印第安納州的公家機關與私人機構因忙著調查受害情況並復原系統而暫停對外服務。今年 5 月發生的這波勒索病毒攻擊使得巴爾的摩市政府和郡政府皆因為某些用戶的 2018 年自來水用量資料異常 (不是過低就是根本為零)，而無法將該年度自來水費與汙水下水道使用費帳單寄發給市民。

根據另一起報導指出，俄亥俄州的 NEO Urology 泌尿科醫院支付了約當 75,000 美元的比特幣(Bitcoin)給駭客以便救回被鎖定的電腦與被加密的資料。

繼續閱讀

GandCrab 勒索病毒鎖定攻擊 MySQL 資料庫

2019 年 06 月 05 日2019 年 06 月 04 日趨勢科技 TrendMicro

資安研究人員發現有大量突發的攻擊事件，鎖定執行 MySQL 資料庫的 Windows 伺服器，透過 GandCrab 勒索病毒 Ransomware (勒索軟體/綁架病毒)進行感染 (由趨勢科技偵測為 Ransom.Win32.GANDCRAB.SMILC)。這類攻擊最初是在去年 5 月 19 日透過誘捕系統 (honeypot) 發現，會掃描網際網路對向 (internet-facing) 的 MySQL 資料庫，並確認資料庫是否運行於 Windows 作業系統，然後執行惡意的 SQL 指令上傳檔案，擷取並協助執行勒索病毒。

發現這種入侵手法的資安研究員發現，這種掃描活動會搜尋不安全或設定不當的 MySQL 資料庫或防火牆，並可能攻擊任何暴露了連接埠 3306 的 MySQL 伺服器，這是 MySQL 預設使用的連接埠。

該攻擊行動涉及的 GandCrab 版本/樣本下載已經超過 2,300 次。雖然這樣的次數並不多，但攻擊仍造成重大的資安風險。MySQL 是相當普遍的資料庫技術，據報市佔率超過 50%。

[延伸閱讀：深層網路提供勒索軟體即服務?這對企業有何影響?]

GandCrab 本身使用不同的攻擊媒介，因為這項軟體最初是使用 Rig 及 GrandSoft 等漏洞攻擊套件。GandCrab 操作者在檔案分享網站使用惡意廣告，透過新開發的漏洞攻擊套件傳遞勒索軟體，例如 Fallout、JavaScript malware 及 spam attachments。透過種類廣泛的攻擊媒介，這種勒索軟體威脅逐漸猖獗 — GandCrab 在 2018 年是北美地區最常遭到偵測的勒索病毒系列。

繼續閱讀