【2023 年 3 月 8 日台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 發布一份最新報告,指出雖然僅有 10% 的勒索病毒受害者會支付贖金,但這麼做等於讓更多其他企業受害。
完整報告「企業決策者對於勒索病毒風險應該知道的事註1」(What Decision Makers Need to Know About Ransomware Risk):
趨勢科技威脅情報副總裁 Jon Clay 表示:「勒索病毒是今日企業及政府面臨的一項重大網路資安威脅,而且它還在持續演變,這正是為何我們需要更準確的資料導向方法來為勒索病毒相關的風險建立模型。這份新的研究旨在協助 IT 決策者更了解其曝險狀況,並提供政策制定者一些所需資訊來擬定更有效、更具影響力的策略。」
該報告提供了策略性、戰術性、營運性及技術性威脅情報,並且運用先進的資料科學來找出犯罪集團的各種指標。這些指標可用來比較不同的勒索病毒集團、評估其風險,並且建立其行為模型。
以下是這份報告的主要發現:
繼續閱讀勒索病毒集團及其商業模式未來勢必有別於今日的樣貌,本文摘要說明一些可能促使犯罪集團在短期之內做出小幅調整以及長期下去可能發生大幅變革的誘因。
現代化勒索病毒(勒索軟體,Ransomware) 攻擊已成為近年來企業可能面臨的最危險的網路資安事件之一,為此趨勢科技特別針對勒索病毒集團當前的現況及未來的可能發展方向進行一番研究。有鑑於除了勒索病毒之外,還有其他更賺錢的網路犯罪商業模式,而且影響此非法行業的地緣政治與經濟條件正在不斷變化,因此我們檢視了一些可能促使勒索病毒商業模式在設計和經營上發生變化的誘因。
本文摘要說明「勒索病毒商業模式的短期與長期未來」(The Near and Far Future of Ransomware Business Models) 報告當中詳述的一些促使勒索病毒服務 (RaaS) 集團對其當前營運方式進行小幅調整的可能誘因 (參閱「演變」一節)。此外,我們也檢視在更長遠的未來,當這些誘因及小幅演變逐漸累積之後,犯罪集團可能做出哪些更大的變革來追求其他潛在的長期目標 (參閱「變革」一節)。雖然該研究報告提出了五項關鍵因素,但本文只挑出其中三點來討論:
趨勢科技研究員最近發現了一個新的勒索病毒會利用一個名為「Everything」的合法工具當中的 API,這是一個由 Voidtools 所開發的 Windows 檔名搜尋引擎,可快速搜尋並即時更新,且資源用量很低。
趨勢科技研究員最近發現了一個新的勒索病毒會利用一個名為「Everything」的合法工具當中的 API,這是一個由 Voidtools 所開發的 Windows 檔名搜尋引擎,可快速搜尋並即時更新,且資源用量很低。這個勒索病毒 (我們根據其執行檔內的某個字串將它命名為「Mimic」) 最早是在 2022 年 6 月在網路上被發現,專門攻擊使用俄羅斯文與英文的使用者。它擁有許多功能,例如:刪除系統還原點 (shadow copy)、終止各種應用程式和服務、利用 Everything32.dll 函式來查詢它準備加密的目標檔案。
本文將詳細探討 Mimic 勒索病毒的元件和功能,以及它與 2022 年初外洩的 Conti 勒索病毒產生器之間的關聯。
Mimic 是以執行檔的形態進入系統,該執行檔會在系統植入多個二進位檔案,以及一個密碼保護的壓縮檔 (假冒成 Everything64.dll),該檔案解壓縮後就會出現勒索病毒的惡意檔案。此外也包含一些用來關閉 Windows Defender 的工具,以及合法的 sdel 二進位檔。
| 檔案名稱 | 說明 |
| 7za.exe | 合法的 7zip 檔案,用來解壓縮惡意檔案。 |
| Everything.exe | 合法的 Everything 應用程式。 |
| Everything32.dll | 合法的 Everything 應用程式。 |
| Everything64.dll | 密碼保護的壓縮檔,內含惡意檔案。 |
當該病毒執行時,首先它會將其元件植入「%Temp%/7zipSfx」資料夾。接著,使用它植入的 7za.exe 來解開密碼保護的 Everything64.dll 檔案到同一個目錄下,指令如下:
%Temp%\7ZipSfx.000\7za.exe” x -y -p20475326413135730160 Everything64.dll
此外,它還會將連線階段金鑰檔「session.tmp」寫入同一目錄,萬一它在加密過程中被打斷,就能使用這個檔案來繼續執行加密。
接著,它會將植入的檔案複製到「%LocalAppData%\{Random GUID}\」,然後勒索病毒會被重新命名為「bestplacetolive.exe」,並且將「%Temp%」目錄中的原始檔案刪除。
根據我們的分析,Mimic 還可支援其他指令列參數,如表 2 所示。
| 指令列選項 | 可接受的數值 | 說明 |
| -dir | 要加密的檔案路徑 | 要加密的目錄。 |
| -e | all local net watch ul1 ul2 | 全部加密 (預設)。 加密本機檔案。 加密網路共用資料夾中的檔案。 ul:unlocker 建立一個具備跨處理程序通訊 (IPC) 功能的執行緒並試圖 解鎖另一個處理程序的某些記憶體位址。 |
| -prot | 保護勒索病毒不被終止。 | |
| -pid | <整數> | 先前執行的勒索病毒處理程序識別碼 (PID)。 |
Mimic 勒索病毒會利用 CreateThread 函式來建立多個執行緒以加快加密流程,並且讓資安研究人員的分析工作更具挑戰性。
當它執行時,它首先會利用 RegisterHotKey API 註冊一組快捷鍵 (Ctrl + F1),按下這組快捷鍵會顯示勒索病毒的執行狀態記錄檔。
勒索病毒的設定是存在於它的 Overlay 記憶體中並且使用 NOT 運算元來解密。
以下圖 8 詳細顯示其設定中的項目和數值。
Mimic 勒索病毒具備了多種能力,包括:
Mimic 使用「 Everything32.dll」這個合法的 Windows 檔案名稱搜尋引擎來即時搜尋檔案。它會利用這個工具來查詢某些副檔名與檔名,利用 Everything 的 API 來取得檔案的路徑以便加密。
它使用 Everything_SetSearchW 函式來搜尋要加密或避開的檔案,搜尋格式如下:
file:<ext:{list of extension}>file:<!endwith:{list of files/directory to avoid}>wholefilename<!{list of files to avoid}>
有關 Mimic 會搜尋或避開哪些檔案的詳細資訊,請參閱此處。
接著它會將「.QUIETPLACE」副檔名附在被加密的檔案名稱後端,最後,它會顯示勒索訊息。
根據我們的分析,該病毒有某些程式碼似乎是以 2022 年 3 月外洩的 Conti 勒索病毒產生器為基礎。例如,在 Mimic 和 Conti 的加密模式當中,有些模式的數值是一樣的。
參數「 net」相關的程式碼也是以 Conti 為基礎。它會使用 GetIpNetTable 函式來讀取 Address Resolution Protocol (ARP) 快取,並檢查 IP 位址是否含有「172.」、「192.168」、「10.」或「169.」等字樣。Mimic 還增加了一個過濾規則來排除含有「169.254」字樣的 IP 位址,因為這是 Automatic Private IP Addressing (APIPA) 的 IP 位址。
此外,Mimic 在搜尋 Windows 網路共用資料夾時也使用到 Conti 的程式碼,它使用 NetShareEnum 函式來尋找所有其蒐集到的 IP 位址上的共用資料夾。
最後,Mimic 的連接埠掃描函式也是參考 Conti 產生器。
有關 Mimic 勒索病毒行為的更多詳細資訊,請參閱這份報告。
具備多種能力的 Mimic 勒索病毒似乎是採用了一種新的作法來加快動作,它在加密過程當中運用了多重執行緒,並使用 Everything 的 API,如此可降低資源的用量,執行起來更有效率。此外,Mimic 背後的駭客似乎擁有豐富的資源與不錯的技術能力,他們擷取了一個外洩的勒索病毒產生器中的多項功能,然後加以改良來提高攻擊成效。
要保護系統免於勒索病毒攻擊,我們建議不論是一般使用者或企業都應該養成良好資安習慣並採取最佳實務原則,例如透過資料防護、備份及復原措施來保護可能被加密或清除的資料。定期執行漏洞評估並隨時修補系統,如此可降低那些專門攻擊漏洞的勒索病毒所帶來的損害。
一套多層式的方法有助於企業防範各種駭客可能入侵其系統的途徑,如:端點、電子郵件、網站以及網路。此外,還可利用適當的資安解決方案來偵測惡意元件與可疑行為來保護企業。
如需本文當中提到的入侵指標,請參閱 此處。
原文出處:New Mimic Ransomware Abuses Everything APIs for its Encryption Process
防毒防詐守護帳密VPN安心串流阻絕惡意安心蝦拚
PC-cillin 讓你的『指指點點』可以開心又安心點!
Vice Society勒索病毒集團在 2022 年尾及 2023 年初登上媒體版面 ,針對多個目標發動了一連串攻擊,甚至影響了美國舊金山市的捷運系統。大多數的報導都表示該集團主要攻擊教育和醫療產業。不過,根據趨勢科技的監測資料顯示,該集團也會攻擊製造業,這意味著他們有能力、也有企圖滲透各種不同產業。 本文探討趨勢科技對 Vice Society 的研究發現,包括我們從趨勢科技內部監測資料所描繪出來的完整感染過程。
Vice Society勒索病毒集團在 2022 年尾及 2023 年初登上媒體版面 ,針對多個目標發動了一連串攻擊,甚至影響了美國舊金山市的捷運系統。大多數的報導都表示該集團主要攻擊教育和醫療產業。2022 年Vice Society 勒索病毒集團攻擊了33 個教育機構,根據The Hacker News報導,其猖狂程度超過了 LockBit、BlackCat、BianLian 和 Hive 等其他惡名昭彰的勒索病毒集團。不過,根據趨勢科技的監測資料顯示,我們有證據證明該集團也會攻擊製造業,這意味著他們有能力、也有企圖滲透各種不同產業,最有可能的是他們從黑暗網路(Dark Web,簡稱暗網)地下市集購買了已遭外洩的登入憑證。我們在巴西 (主要是製造業)、阿根廷、瑞士及以色列都有偵測到 Vice Society 的蹤影。
針對關鍵基礎設施的網路攻擊會導致大規模的社會混亂並帶來巨大的經濟損失。本文將會探討該如何保護六個關鍵OT(營運技術)領域,以阻止勒索病毒(勒索軟體,Ransomware) 及其他對關鍵營運的威脅。
針對關鍵基礎設施的網路攻擊可能會導致大規模的社會混亂並帶來巨大的經濟損失。重要性讓工業IT和OT(營運技術)成為吸引勒索病毒攻擊的目標。對六個關鍵OT領域部署強大的網路防禦能夠阻止勒索病毒及其他對電網、油管或類似關鍵設施的威脅。
針對工業目標的勒索病毒攻擊正在持續上升,佔了所有工業端點惡意軟體的一半以上。它們也變得更加複雜,而且能夠利用長期未修補的漏洞及(不太常見的)零時差漏洞。通常他們會分工合作:一個網路犯罪分子(或團體)找出漏洞,另一個銷售漏洞,其他會銷售攻擊不同類型漏洞的工具,還有些人會負責處理付款流程。有些勒索病毒攻擊現在甚至升級成雙重或三重勒索。
這些發展與工業網路的發展軌跡相吻合,從只使用廠商專用通訊協定打造的封閉平台,發展到基於IP的系統,而且有越來越多會利用與其他應用程式共享的企業IP網路。透過遠端進行監控、設定和分析都已經相當普遍,同時自動化系統和現場營運也開始在利用雲端運算和邊緣運算。這些新的連線與通常更加互連的IT和OT系統相結合,持續地擴大了工業攻擊面。