資安名詞/什麼是?/ 何謂? - 資安趨勢部落格

勒索病毒也可網購! ShurL0ckr在暗網上販售，據報可以繞過雲端應用程式

2018 年 02 月 15 日2018 年 02 月 23 日趨勢科技 TrendMicro

安全研究人員發現一個名叫ShurL0ckr的新勒索病毒據説可以繞過雲端平台的偵測機制。就跟Cerber和Satan一樣，ShurL0ckr操作者將這勒索病毒經營成外包服務，讓其他網路犯罪分子也可以分一杯羹，從受害者贖金中抽取佣金。

《延伸閱讀》散播Cerber 和CTB Locker勒索病毒嫌犯遭捕:程式非自己開發,以 30% 不法獲利跟駭客分紅

根據研究人員對ShurL0ckr的分析顯示，它可以躲避雲端應用程式偵測來進行擴散。跟其他勒索病毒一樣，網路釣魚（Phishing）和路過式下載「Drive by download」是最可能的感染媒介。

ShurL0ckr的出現也顯示出另一個更大的問題：網路犯罪分子對合法平台和服務的濫用。研究人員指出，使用雲端應用程式的企業有44%或多或少受到惡意軟體影響。事實上，他們發現至少有三家企業級軟體即服務（SaaS）應用程式感染了惡意軟體。研究人員還發現，惡意腳本、可執行檔以及木馬化的Office文件和圖片檔是最常用的進入點。

勒索病毒不會很快就消失。事實上，隨著企業越來越採用新興技術來開拓業務，勒索病毒和數位敲詐可以預見會是網路犯罪的主流。繼續閱讀

新勒索病毒接受以太坊（ETH）作為贖金

2018 年 01 月 11 日2018 年 01 月 22 日趨勢科技 TrendMicro

隨著以太坊（ETH）的價格持續上漲，網路犯罪分子也很快地看上這新的賺錢機會。有一隻新的HC7 Planetary勒索病毒似乎是第一個接受以太坊作為贖金的勒索病毒 Ransomware (勒索軟體/綁架病毒)。

HC7 Planetary會透過遠端桌面侵入網路來進行散播。一旦惡意份子駭入網路就會手動將勒索病毒安裝在所有可存取的電腦上。

這勒索病毒目前還在散播中，會加密檔案並加上.PLANETARY的副檔名。從底下的勒贖通知可以看出病毒作者要求每台電腦700美元的贖金，或用5,000美元包含整個網路的電腦。

圖1、HC7 Planetary勒索病毒勒贖通知（透過bleepingcomputer.com）

值得注意的是，這勒索病毒將以太坊和比特幣及門羅幣並列為可接受的付款數位貨幣。以太坊目前是比特幣之外第二大有價值的數位貨幣，每一枚超過1,200美元，預計到2018年將會成長3倍。繼續閱讀

挖礦劫持（Cryptojacking）幫星巴克加料,顧客上網筆電竟成挖礦機

2017 年 12 月 19 日2018 年 03 月 02 日趨勢科技 TrendMicro

跨國連鎖咖啡店星巴克(Starbucks)證實他們位於阿根廷布宜諾斯艾利斯店內的顧客會在不知情下被利用來進行數位貨幣挖礦。看起來似因為這些店家的無線網路被修改過，透過店內的 Wi-Fi 無線網路載入網頁會嵌入CoinHive挖礦程式。因為這樣，連上無線網路的使用者設備會在不知情被利用來挖掘 Monero數位貨幣。

挖礦腳本也會被嵌入在使用者可能會停留大量時間的地方，比方說長影片,趨勢科技發現串流媒體的使用者也成為目標。

紐約一家高科技公司的高階主管 Noah Dinkin 在Twitter上大力反應，星巴克回應他們已經迅速地處理了這一問題。

圖1、Dinkin在Twitter上強調了此一問題

因為數位貨幣的價值在不斷增加，挖礦所需資源也在迅速成長，網路犯罪分子甚至一些合法企業都在尋找方法透過數位貨幣挖礦獲利。一些熱門網站也在尋找平衡的做法 – 使用者可以貢獻運算能力來挖礦而不用被廣告轟炸。

串流媒體的使用者也成為目標:近十億串流媒體網站的訪客被秘密地用在數位貨幣挖礦活動

光明正大的網站會明確告知使用者可能被用來進行數位貨幣挖礦，但其他的網站則不。根據AdGuard研究人員所發表的報告，有近十億串流媒體網站的訪客被秘密地用在數位貨幣挖礦活動，這種做法被稱為“挖礦劫持（cryptojacking）”。他們還列出透過使用者來挖礦的數個熱門串流媒體網站和線上影片轉檔網站。挖礦腳本被嵌入在使用者可能會停留大量時間的地方，比方說長影片。研究人員指出，並非所有網站所有者都知道自己的網站被嵌入挖礦腳本。繼續閱讀

挖礦平台NiceHash遭駭, 6400 萬美元比特幣被盜

2017 年 12 月 08 日2017 年 12 月 12 日趨勢科技 TrendMicro

斯洛維尼亞的數位加密貨幣採礦市集「NiceHash」已確認其網站和支付系統皆遭駭客入侵，其比特幣錢包內的貨幣已被偷走。根據報導，此次總共損失了 4,700比特幣（Bitcoin），約合 6,400 萬美元。

NiceHash 已在其網站發表一份聲明來說明此次事件：「很不幸地，NiceHash 的網站發生了駭客入侵事件，我們目前正著手調查整起事件，因此未來 24 小時將暫停所有營運。」

NiceHash 是一個讓使用者購買或銷售數位加密貨幣開採效能的市集，此外，會員還可將開採出來的貨幣儲存在外部錢包或本地端 BitGo 錢包。此事件的效應和影響範圍目前仍有待釐清，但這已意味著該市集的會員們將損失其經由 NiceHash 開採或累積的數位加密貨幣。

[資安基礎觀念：數位加密貨幣開採惡意程式的負面影響]

NiceHash 遭駭事件正好發生在數位加密貨幣流通量和價值達到巔峰之際 (比特幣價格目前已突破 14,000 美元)。目前的情勢對開採者、礦池業者以及投資人都是絕佳機會，因為數位加密貨幣已逐漸獲得企業機關和公家機構的青睞。繼續閱讀

< 雙重攻擊 >這兩隻勒索病毒只是煙霧彈!以聲東擊西策略,讓企業措手不及

2017 年 12 月 08 日2017 年 11 月 27 日趨勢科技 TrendMicro

Bad Rabbit並不只是一般的勒索病毒,還隱藏了強大的魚叉式網路釣魚活動

NotPetya看起來像勒索病毒,其實真正意圖是破壞受害者系統

雙重攻擊：當一起攻擊掩蓋另外一起攻擊

有時候雙重出現可能是件好事：像是你最喜歡的球隊連勝兩場比賽，或是販賣機一次掉出兩包零食等都是。不過當提到網路安全，雙重攻擊指的是面對一起威脅的影響時又遭受到另外一起攻擊。

在網路安全方面，許多組織都關注在解決單一弱點或是會遭受攻擊的漏洞，認為這樣就足夠阻止攻擊。雖然有時這是真的，但今日的駭客手法更加複雜，也比過去的網路犯罪份子更加執著。如果一條路走不通，駭客會繼續改變戰略直到能夠成功入侵系統。

在最近出現了一種新型態的攻擊，它利用了兩起獨立的惡意軟體攻擊。這做法是用一起攻擊來吸引注意力，好掩蓋另一起惡意軟體的活動，讓它不被注意到 – 提供另一條途徑來進行感染，或是竊取資料及其他知識產權。駭客通常會利用特別明顯的勒索病毒 Ransomware (勒索軟體/綁架病毒)作為第一起攻擊，這是雙重攻擊模式理想的吸引注意力工具。這種做法將會越來越頻繁，持續到2018年。

不過這種攻擊究竟看起來如何？當網路安全面臨這類雙重攻擊時，組織該如何保護自己？讓我們來看看當一個攻擊掩飾另一起攻擊時是什麼樣子：

Bad Rabbit並不只是一般的勒索病毒,還隱藏了強大的魚叉式網路釣魚活動

最近用一起攻擊掩飾另一起更具破壞性駭客活動的例子用的是Bad Rabbit(壞兔

子)。這勒索病毒在2017年秋天首次出現，跟據Hacker News的報導，它在俄羅斯和烏克蘭感染了超過200個組織。Bad Rabbit利用了NSA被Shadow Brokers駭客集團外流的漏洞攻擊碼，迅速地滲透受害者的網路並進行擴散。

其他最近知名的勒索病毒像NotPetya用的是EternalBlue。Bad Rabbit使用EternalRomance RCE來進行惡意活動。它所攻擊的是微軟Windows 伺服器訊息區塊（SMB）的漏洞，標識為CVE-2017-0145。這個漏洞會影響Windows端點間的資料傳輸，並且讓駭客可以繞過安全協定來進行遠端程式碼執行。

當攻擊出現時，研究人員發現感染始於中毒俄羅斯媒體網站的偷渡式下載（drive-by download），利用假Flash播放程式來安裝惡意軟體。

不過研究人員很快地從感染案例中發現Bad Rabbit並不只是一般的勒索病毒：這病毒還隱藏了一起強大的魚叉式網路釣魚活動。

“當Bad Rabbit散播時，一些烏克蘭的機構也同時被網路釣魚攻擊所鎖定”KnowBe4的作者Stu Sjouwerman寫道。“這些攻擊活動的目標是金融資訊和其他敏感資料。”

Bad Rabbit(壞兔子)勒索病毒只是煙霧彈，它覬覦的是珍貴的商務機密

這樣一來，最初的Bad Rabbit勒索病毒只是個煙霧彈，用來掩飾鎖定特定對象的針對性攻擊。

烏克蘭國家網路警察主管Serhiy·Demedyuk稱這為 “混合攻擊”，並指出第一波攻擊吸引了大部分的關注，讓第二次攻擊能夠成功取得“災難性的結果”。