【2024年2月23日,台北訊】全球網路資安領導廠商趨勢科技(東京證券交易所股票代碼:4704)今天表示該公司最近協助全球執法機關破獲專以勒索病毒服務(RaaS)模式運作的超大型勒索集團LockBit,並斬斷了他們未來繼續經營惡意軟體生意的命脈。趨勢科技透過臥底滲透的方式並搶先在該集團完成惡意程式產品測試之前,協助遏止該集團即將發佈的惡意程式產品,同時為客戶部署了偵測及防護機制。
負責與美國聯邦調查局(FBI)及英國國家犯罪局(NCA)合作的趨勢科技網路犯罪研究團隊協理Robert McArdle表示:「我們很榮幸我們的威脅情報能在這項合作任務中對全球執法機關發揮獨一無二的價值,讓世界變得更安全。」
趨勢科技發現有駭客集團透過惡意廣告並且仿冒合法網站來散播惡意程式,駭客仿冒了知名開放原始碼檔案傳輸程式 WinSCP 的網站。受害企業會感染 BlackCat 勒索病毒 (又名 ALPHV),而且駭客還使用了 SpyBoy Terminator 軟體來試圖破壞資安軟體的防護。
最近,趨勢科技事件回應團隊在執行針對性攻擊偵測 (TAD) 服務時發現了一些相當可疑的活動,隨後便聯絡了遭到攻擊的企業。經過調查發現,歹徒透過惡意廣告並搭配仿冒的網頁來散播惡意程式。被仿冒的是知名的 WinSCP 開放原始碼檔案傳輸程式 (Windows 版)。
企業經常透過 Google Ads 這樣的平台來投放針對特定對象的廣告,以便衝高流量和提升買氣。而駭客集團也常在該平台刊登惡意廣告來散播惡意程式,他們會在使用者搜尋特定關鍵字時投放惡意廣告,引誘不知情的使用者下載惡意程式。
在這起案例當中,受害企業與趨勢科技團隊在調查之後發現駭客集團在該企業的網路內部執行了下列未經授權的惡意活動:
繼續閱讀本文說明 Lemon Group 如何利用預先感染的行動裝置來打造犯罪事業,以及這樣的模式如何複製到其他物聯網 (IoT) 裝置。這項研究的所有發現已在 2023 年 5 月新加坡舉行的 Black Hat Asia 2023 駭客大會上發表。
趨勢科技在接獲並追查一起有關行動裝置被用於詐騙的案件時,分析到一個被預載了兩種不同惡意程式載入器 (loader) 的裝置,這兩個載入器分別會從不同駭客集團下載其他元件到裝置上安裝。不久前,我們才在 5 月舉行的 Black Hat Asia 2023 駭客大會 上發表了這份研究的完整內容,詳細揭露了駭客用到的其他系統、公司名稱與其他營業據點、獲利途徑、Telegram 群組以及員工個人檔案。
本文說明這個我們稱為「Lemon Group」的駭客集團如何透過行銷和銷售預先感染的裝置來打造他們的犯罪事業,以及他們的賺錢策略。此外,我們也大致說明這些裝置是如何遭到感染、使用什麼惡意擴充元件,以及該集團的商業合作關係。
繼續閱讀
Windows 電腦用戶請注意!鎖定微軟 Windows 系統的新型勒索病毒「Big Head」正流竄於網路上。 目前至少有三種變種。若在沒有注意的情況下點擊惡意網址連結不慎感染,檔案就會被加密,並會置換桌面告知「所有檔案都已被 Big Head 加密」此時,你的電腦已經動彈不得,必須依指示支付「比特幣」贖金以解密檔案。
提醒您,備份可以降低感染勒索病毒損失,但不是預防的方法喔!預防感染勒索病毒,除了定期更新軟體,只打開信任的郵件/連結外,平時最好安裝有針對網路釣魚及勒索病毒加強防禦的防毒軟體,可大幅降低感染風險。
假使您也不幸成了受害者,請保持冷靜,最好向外尋求協助,但不要支付贖金。如 趨勢科技 PC-cillin 的「勒索剋星」可為您的寶貴檔案提供多一層防護。》立即免費下載試用
以下是針對以下是針對Big Head 勒索病毒的深入解析。
趨勢科技分析了一個名叫 Big Head 的最新勒索病毒(勒索軟體,Ransomware) ,本文說明其各變種之間的相似與獨特之處,並且在該病毒的初期報導之上新增了一些技術細節。
今年五月出現了一個名為「Big Head」的最新勒索病毒家族,目前至少有兩個變種已有明確記載。經過深入研究,我們發現這兩個變種的勒索訊息都使用同一個電子郵件聯絡地址,使得我們懷疑這兩個變種其實是師出同門。在進一步追查之後,我們找到了多個不同變種版本。本文深入研究這些變種的攻擊手法,以及彼此之間的相似及獨特之處,還有感染這些變種之後的潛在衝擊。
分析
本節詳細說明我們找到的三個 Big Head 樣本,以及他們的特殊能力和手法。儘管我們還在持續調查並追蹤這項威脅,但我們高度懷疑這三個 Big Head 勒索病毒樣本全都是經由冒牌 Windows 更新與冒牌 Word 安裝程式的惡意廣告傳染。
繼續閱讀上週發生多起美國聯邦與市政府機關遭 Clop 勒索病毒集團入侵的事件,使得拜登政府今年稍早發布的國家網路資安策略首次遭逢嚴重考驗。儘管目前仍有許多細節尚未對外公布,但可以確定的是,網路犯罪集團總是能夠藉著不確定性而占據上風。
美國政府機關之間普遍採用的 MOVEit 資料傳輸服務存在著一個嚴重漏洞讓駭客集團滲透了多個美國政府機關,包括美國能源部 (DOE) 以及多個州境內的大學系統。有些政府官員很快就對外發布消息以確保攻擊行動能被偵測並遏止,但其他機構的反應則慢了半拍,沒能獲得正面的成果。資安事件應變的最大挑戰之一就是了解駭客已經入侵到什麼程度,以及接下來會往哪個方向移動 (如果仍在活動的話)。
在此同時,Clop 集團也在週三發布一則聲明表示本次事件受害者遭竊的資料已經全數刪除。駭客在攻擊事件當中謹守某些分際的現象並非什麼新鮮事,但我們不能單看聲明的表面。儘管全球勒索病毒攻擊的衝擊程度多年來一直在起伏變化 (尤其是俄羅斯的集團),但最近卻突然嚴重起來。
繼續閱讀