今日的金融業比以往更加積極地邁向資訊技術 (IT) 與營運技術 (OT) 的匯流。智慧裝置帶來了 7 天 24 小時全天候連網的需求,也使得金融業被迫必須適應這樣的新環境,尤其當企業和使用者對物聯網(IoT ,Internet of Thing)的接受度越來越高。不幸的是,金融帳戶隨時帶著走的便利性卻也為網路犯罪集團帶來了獲利商機,讓合法經營的企業必須付出慘痛代價。
繼續閱讀分類: 網路犯罪駭客集團
REvil 等勒索病毒集團與系統駭入集團結盟,專攻大型企業
「存取服務」(access-as-a-service)
根據一項最新報導指出,一些專門提供所謂「存取服務」(access-as-a-service) 系統駭入專家正與勒索病毒集團合作,使得更多受害者遭到入侵。這兩種網路犯罪集團的結盟,讓惡意程式能夠更快散布至更多高獲利的目標,其中絕大多數都是企業網路。勒索病毒主要是仰賴新的受害者來延續其壽命,而這些專門滲透企業系統的駭客集團正好滿足了這方面的需求,他們專門出租或銷售各大企業網路的存取權限來牟利。
資安機構 Advanced Intelligence (AdvIntel) 在一份報告當中點出了地下犯罪集團彼此之間的複雜關係,以及各種不同惡意程式集團之間如何互相合作。正如 AdvIntel 在報告中所詳述,勒索病毒集團會利用各種策略來散布惡意程式,而專精網路入侵的駭客,則隨時都在想辦法善用他們的技能來賺錢。因此,兩者的結合等於是互利。
AdvIntel 舉「-TMT-」犯罪集團為例,該團體專門提供各種機構的網路存取權限與系統管理帳號密碼。從這份報告可看出該集團的受害者相當廣泛:
- 一家在智利、玻利維亞和秘魯皆設有營業據點的拉丁美洲居家產品供應商。
- 一家台灣製造商。
- 一家哥倫比亞金融服務公司。
- 一家國際海運公司。
- 一個美國大學與教育機構的網路。
- 一家丹麥乳製品公司。
- 一家玻利維亞能源公司。
專門提供勒索病毒服務的知名犯罪集團 REvil,不單只靠提供勒索病毒賺錢,更有來自結盟夥伴的收入。
繼續閱讀ATM 惡意軟體在地下市場出售
任何罪犯只要投資 1,000 美元,就可以立即開始攻擊 ATM
違法賣家正在地下市場兜售可用來駭入銀行的現成 ATM 惡意軟體。趨勢科技在 2015 年開始分析樣本時,自動櫃員機 (ATM) 惡意軟體並不常見。南美洲和俄羅斯的一些犯罪集團已研究這些機器的運作原理,並製造特殊軟體來攻擊它們,這項事實在當時相當驚人。ATM 機器與常見的 Windows 環境不同,因此攻擊者需要瞭解一套特殊的應用程式設計介面 (API),以及介面如何與特定銀行應用程式互動。
自從趨勢科技首次與歐洲刑警組織 (Europol) 的歐洲網路犯罪中心 (EC3) 合作,並說明了以 ATM 為目標的不同網路威脅開始,我們觀察到 ATM 惡意軟體現況正逐步發展為以網路攻擊為主。我們發表了第二篇論文,詳細說明這項進展,以及這些年來出現的 ATM 惡意軟體系列。
[閱讀研究報告:利用 ATM 惡意軟體牟利:全面檢視各種攻擊類型]
我們已看到 ATM 惡意軟體領域的多種變化,但最重要的變化並非技術層面:ATM 惡意軟體已變成網路犯罪地下市場的共同特徵,現正成為攻擊者竊取現金裝備的一部分。ATM 惡意軟體已成為商品,任何罪犯只要投資 1,000 美元,就可以立即開始攻擊 ATM。
值得注意的是這些違法產品來自說俄語的地下犯罪組織。這並不是表示南美集團已停止攻擊當地的 ATM,而是表示俄羅斯的地下犯罪市場更活躍、更繁榮,更有可能發生各種違法交易。
[相關文章:再訪俄羅斯網路犯罪地下市場]
地下賣家提供疑難排解等線上協助
網路犯罪產品包含的內容通常不只惡意軟體。這些地下賣家經常會提供指示、實際的建議和疑難排解指南。
舉例來說,廣告打最兇的 ATM 惡意軟體產品之一「Cutlet Maker」,具有成功執行搶劫所需硬體的具體描述,以及使用該程式的詳細逐步指示。
Cutlet
Maker 套件的組成部分:要鎖定的 ATM 廠牌和機型的說明,以及攻擊它需要的設備
網路勒索集團清除了 12,000 多個 MongoDB 資料庫
過去幾週以來,全球有超過 12,000 個 MongoDB 資料庫遭到駭客清除,而使用者若想復原這些資料庫,就必須支付贖金給歹徒。
這樣的勒贖事件並非第一次出現,MongoDB 和類似的企業多年來一直不斷遭到這類攻擊。根據 Bleeping Computer 的報告指出,這起最新的資料庫受害案件是一位名叫 Sanyam Jain 的獨立資安研究人員所發現。Jain 利用 BinaryEdge 連網裝置搜尋引擎,發現了 12,564 個遭到清除的 MongoDB 資料庫。此外他還發現,這些攻擊的背後主謀很可能是 Unistellar 駭客團體。
Jain 最早是在四月份開始注意到這些攻擊,他發現有某個遭到清除的 MongoDB 資料庫當中含有一封簡短的勒索訊息。在經過進一步的追查之後,他發現了更多被清除的資料庫,以及兩個歹徒留下的電子郵件地址,這些地址指向 Unistellar 駭客集團。
該報告指出,駭客很可能是利用 BinaryEdge 和 Shodan 這類搜尋引擎來找尋暴露在網路上的 MongoDB 資料庫,並且採用自動化攻擊。其自動化腳本在找到並連上這些缺乏安全保護的資料庫之後,就會將資料庫清除。而且在清除資料之前會先建立還原點,以便能在受害者支付贖金之後將資料還原。之前的 MongoDB 攻擊案例都直接要求受害者支付一定比特幣 (bitcoin) 的贖金,但最近的這起攻擊卻只留下電子郵件聯絡地址,以便受害者能和歹徒聯繫並商量贖金。
繼續閱讀ScarCruft 駭客集團開發具備藍牙裝置掃描能力的惡意程式
ScarCruft 網路犯罪集團最近開發出一種可掃瞄藍牙裝置的惡意程式,蒐集包括裝置名稱、位址、類型以及連線和認證等資訊。此惡意程式利用了 Windows Bluetooth API 來蒐集這些裝置資訊。
這起多重階段攻擊行動專門鎖定俄羅斯、越南和香港的投資與貿易公司。ScarCruft 會運用魚叉式釣魚(spear phishing)技巧或水坑式攻擊試圖滲透目標企業機構。
[延伸閱讀:Anatomy of a spear phishing attack]
該惡意程式 (趨勢科技命名為 Trojan.Win32.SCARCRUFT.AA) 在滲透系統之後,會下載一個惡意程式來躲避 Windows 的使用者帳戶控制 (UAC) 機制,此機制是 Microsoft 整體安全願景的一環。
惡意程式一旦成功避開 UAC 的管制,就能以更高的權限執行,並在受害企業機構內執行一些合法的滲透測試工具。為了進一步躲避偵測,還會利用圖像隱碼術(Steganography)來隱藏自己的程式碼。
繼續閱讀