駭客列傳 - 資安趨勢部落格

這三隻勒索病毒居然要的不是錢,而是….

2017 年 04 月 26 日2017 年 04 月 26 日趨勢科技 TrendMicro

在勒索病毒（Ransomware）把網友當搖錢樹的今日，幾乎每個犯罪分子都想盡辦法來分一杯羹,但有三隻勒索病毒特別與眾不同，它要的不是贖金。

最近全球各地網路犯罪集團持續利用以教學名義流傳到網路上的 Hidden Tear 開放原始碼勒索病毒來衍生新的變種。本週仍維持先前的發展趨勢，勒索病毒不僅從開放原始碼衍生出新的版本，更不斷朝多樣化與區域性變種發展。此外，有些勒索病毒也一改以往作風，它們居然要的不是錢….

RensenWare 勒索病毒 :玩指定遊戲，得分超過2億才能救回檔案

RensenWare 勒索病毒 (趨勢科技命名為 RANSOM_HIDDENTEARRENSEN.A)。這個從 Hidden Tear 衍生的變種會要求受害者去玩《東方星蓮船》(TH12: Undefined Fantastic Object) 這款遊戲，並且必須得分超過2億,才能救回檔案。我們不清楚歹徒背後的動機為何，但駭客似乎對這款遊戲情有獨鍾。

Kindest 勒索病毒:什麼都不要,只要受駭人看指定影片

Kindest 勒索病毒 (趨勢科技命名為 RANSOM_HIDDENTEARKINDEST.A)，它也是Hidden Tear 的變種。系統一旦感染 Kindest 勒索病毒，受害者就必須前往某個連結來學習更多有關勒索病毒的知識，而不是支付一筆贖金。儘管這聽來有點詭異，但這也並非第一次出現以實際行動來教育使用者的勒索病毒。繼續閱讀

2016臺灣企業受駭比例最高的惡意攻擊 RAMNIT 並未消失

2017 年 02 月 21 日2017 年 05 月 09 日趨勢科技 TrendMicro

2016年中華電信從自家情資中心資料選出20個臺灣企業受駭比例最高的惡意攻擊行為，其中榜首為Ramnit，該報告指出台灣平均每日逾30,000件的感染案件都是來自Ramnit的攻擊。

RAMNIT以在銀行網站上注入惡意程式碼來竊取受害客戶的帳號資訊而惡名昭彰, 頑強的RAMNIT會將自己的程式碼注入系統上正在跑的所有執行程序，讓自己隨時常駐在記憶體內，而且還會刪除防毒軟體相關的系統登錄機碼來保護自己。

網路釣魚郵件是 RAMNIT 的重要散布管道,今年稍早，英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告，指出網路犯罪集團正利用社會大眾的愛心，假借慈善機構散發網路釣魚郵件。

2015 年 2 月歐洲刑警組織 (Europol) 才查獲了多台幕後操縱 (C&C) 伺服器。但此惡意程式並沒有從此消聲匿跡,之後又重新出發，企業不僅必須提高警覺，還要建立一套指導原則和日常實務指南來防範像 RAMNIT 這類不斷演變的威脅。

今年稍早，英國的詐騙與網路犯罪通報中心「Action Fraud」發出一項警告，指出網路犯罪集團正利用社會大眾的愛心，假借 Migrant Helpline 的名義散發網路釣魚郵件，Migrant Helpline 是一個專門協助跨國移民的慈善機構。這些網路釣魚郵件內含一個原本應該指向捐款網站的連結。但該連結卻會讓使用者在不知情的狀況下，下載到目前最頑強的惡意程式之一，也就是 2016 年東山再起的 RAMNIT 木馬程式。

趨勢科技「2016 年資訊安全總評」報告指出，銀行木馬程式依舊是企業最重要的威脅之一。根據我們 Smart Protection Network™ 全球威脅情報網的資料顯示，2016 年每一季趨勢科技都偵測到許多 RAMNIT 變種，而且它還位居銀行惡意程式排行榜之首。這一點相當令人訝異，因為 2015 年 2 月歐洲刑警組織 (Europol) 才查獲了該木馬程式的多台幕後操縱 (C&C) 伺服器。當歐洲刑警組織破獲該組織時，感染 RAMNIT 的使用者大約在 320 萬左右。

根據當時破獲行動的規模來看，RAMNIT 的感染數量照理應當要大幅下降才對。但是，感染數量只有在 2015 年 2 月確實減少，但隔月幾乎就完全恢復，而且接下來的 2015 一整年，感染數量一直維持在 10,000 以上。根據媒體報導，此惡意程式在 2015 年 12 月和 2016 年 8 月又重新出發，這也解釋了為何後續幾個月的感染數量突然飆升。

繼續閱讀

銀行惡意軟體 SpyEye作者被判九年有期徒刑

2016 年 05 月 04 日2016 年 04 月 27 日趨勢科技 TrendMicro

銀行惡意軟體 SpyEye 的作者Aleksandr Andreevich Panin因為製作及散布SpyEye而被判處九年半的有期徒刑。這是Panin在2013年被逮捕以來的最新發展。在2014年初，他已經對製作及散布SpyEye的控訴認罪。

那次逮捕行動是美國聯邦調查局與趨勢科技加上其他執法單位和產業夥伴所共同合作的結果。趨勢科技所提供的資訊（如網路暱稱及所用帳號）被用來找出惡意作者Panin及其同夥的真實身份。

SpyEye以竊取銀行及金融網站使用者資料而臭名昭著

SpyEye一開始是以「ZeuS殺手」的身分嶄露頭角。傳言是能夠在殭屍網路戰爭中與ZeuS/ZBOT較量的惡意軟體。跟ZBOT一樣，SpyEye以竊取銀行及金融網站使用者資料而臭名昭著。它還具備了rootkit能力，讓惡意軟體的程序和檔案不被受害者所察覺。

自從其出現開始，好幾個版本的惡意軟體出現肆虐。一個重大轉折發生在ZeuS作者（被稱為「Slavik」或「Monstr」）離開了網路犯罪世界，並將ZeuS原始碼交給了Panin（被稱為「Gribodemon」或「Harderman」）。

趨勢科技協助 FBI 成功起訴 SpyEye惡意軟體作者

趨勢科技一直參與對SpyEye的相關調查直到Panin被逮捕。在2011年，我們披露一次調查所得到的發現：一起網路犯罪（稱為「Soldier」）使用SpyEye在六個月內獲得超過320萬美元。這起攻擊主要是針對美國使用者，而某些大型企業和機構（如美國政府和軍方）也受到影響。

Panin遭受逮捕以及被判刑是對Panin及其同夥（Hamza Bendelladj，又被稱為「BX1」）動向調查所產生的結果。比方說，趨勢科技的研究人員滲透了Panin和Bendelladj都會去的地下論壇。他們的貼文會在不經意間透露其電子郵件地址、ICQ號碼或Jabber號碼等資訊 – 這些資訊都可能透露出他們的真實身份。繼續閱讀

《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕

2012 年 04 月 06 日2012 年 03 月 27 日趨勢科技 TrendMicro

一個值得慶祝的消息，俄羅斯特警隊在俄羅斯逮捕了八個人。Gary Warner（阿拉巴馬大學伯明罕分校）在他的部落格內針對這個逮捕事件有篇很棒的文章，所以我在這裡就不再重複細節了。

雖說如此，我還是想說這是另一個很好的例子，顯示民間企業研究單位和國際執法組織之間如何進行跨國合作。趨勢科技希望在未來我們可以看到更多像這樣的例子，讓那些可惡的網路犯罪分子不再以為他們躲在法律鞭長莫及的地方。

網路犯罪分子不該認為他們可以隱藏在任何特定國家或司法管轄區域，而且因為國際法律的差異而避免被起訴。這起事件，還有最近在東歐的逮捕事件，都顯示了執法單位的跨國行動還是可以逮到他們。

就像Warner教授的部落格中所提到，趨勢科技的威脅研究部門在幾年前就對CARBERP做了相當的研究，特別是深入地去舉出被當做目標攻擊的受害者。趨勢科技看到了在政府單位、產業界、學術界都有被當成目標攻擊的受害者，而且有許多的受害者銀行帳戶在不知不覺中被竊取了金錢。

CARBERP是一個特別討厭的銀行木馬，可以在沒有管理員權限下安裝，也能有效地躲過Windows 7和Vista的使用者帳戶控制（UAC）功能。

雖然CARBERP的數量跟普及程度看起來還不及ZeuS和SpyEye，但自從CARBERP在2009年下半年出現開始，趨勢科技看到了數量一直在穩定的成長（見圖1）。

此外，根據趨勢科技的記錄顯示，幾乎有四分之一的CARBERP病毒感染發生在德國（見圖2）。

繼續閱讀

抓到駭客主義者是很棒但不代表你的網路就安全了

2012 年 03 月 20 日2012 年 03 月 14 日趨勢科技 TrendMicro

作者：Paul Ferguson (資深分析師)

最近網路上的每個人看來都想對Lulzsec的被捕事件來談論幾句，我也想藉此機會來說說我的想法。

雖然很高興能夠看到這些違法之徒被繩之以法，但我認為在這日漸成長的駭客主義者（Hacktivist）現象背後有更大的問題存在。

首先，我在這裡所看到的更重要訊息是，這些逮捕行動並不會改變駭客主義者攻擊的趨勢，入侵和攻擊事件還是會繼續。事實上，甚至可能會更加升級。

為什麼？因為他們可以。

而問題就是，入侵網路不應該是如此容易的事，不管是對駭客主義者或是任何人來說都一樣。

這些駭客主義者（絕大多數）都不是真正的「職業罪犯」。真正的專業網路犯罪分子仍然生存著，在東歐和中國（還有其他地方），他們不會將偷來的資料貼到Pastebin，也不會在Twitter公開他們的行動。在大多數情況下，我很懷疑執法單位是否能夠正確地找到這些「職業罪犯」，更別說去加以逮捕、引渡和起訴他們了。繼續閱讀