趨勢科技注意到最近加密勒索軟體 Ransomware家族TorrentLocker相關電子郵件發送到一些國家的數量增加,特別是英國和土耳其。從5月上旬到6月10日,TorrentLocker相關電子郵件變得相對平靜。然而就在過了差不多兩個多星期(6月10日至6月28日),我們看到這種威脅再次出現。
在2014年底, TorrentLocker勒索軟體 Ransomware在義大利傳出疫情。澳洲也曾是這些攻擊的主要目標(雖然其他國家也有受到影響),但最近英國成為最被青睞的對象。TorrentLocker相關電子郵件偽裝成來自公用事業(如英國天然氣)和政府機構(如內政部或司法部)。
這會導致連到這些單位的假網站,要求使用者輸入驗證碼。輸入這驗證碼會下載TorrentLocker到系統上;這看起來是要躲避沙箱技術的自動化測試。這些網站的截圖如下:
圖1、假的英國天然氣公司網站
圖2、假的英國內政部網站
其他國家像是義大利、波蘭、西班牙和土耳其也受到這一波加密勒索軟體 Ransomware的攻擊。用在這些國家的電子郵件利用郵政/快遞服務的名稱,還有電信公司(已知的例子包括SDA Express、Pozcta、Correo和Turkcell)。對澳洲使用者的攻擊已經變平靜,使用澳洲聯邦辦公室名義的電子郵件顯著下降。然而其他郵政/快遞服務(如澳洲的Couriers Please和Pack & Send)也遭到利用。
這些檔案所放置的地方也有所改變:之前它們放在檔案儲存網站,像是Sendspace、Mediafire和Copy.com。不過攻擊者已經轉到使用Yandex Disk。Cryptowall(另一個加密勒索軟體家族)現在主要是透過Google Drive下載。
我們在六月看到所下載的檔案名稱(和使用的社交工程(social engineering )誘餌)列在下表中:
| 社交工程 | 植入檔案 |
| 英國天然氣、內政部、司法部 | case_14781.zip、info_5623.zip、notice.zip、info_61196.zip |
| Correo | carta_certificada_140712.zip、carta_certificada_127845.zip、carta_certificada_748215.zip |
| DHL | paket_95154.zip |
| Poctza | informacje_przesylki.zip |
| Turkcell | turkcell_fatura_192189779.zip |
| SDA Express | Pacchetto_741596.zip, Pacchetto_241879.zip, Pacchetto_857560.zip, Pacchetto_278560.zip |
| ENEL | Bolletta_856912.zip |
正如我們前面所提到,來自英國的使用者最受TorrentLocker所針對。我們是根據TorrentLocker電子郵件的收件者數量判定。其他受影響國家包括澳洲、德國、義大利、西班牙、土耳其和美國。許多被針對的公司都屬於醫療保健產業。
圖3、TorrentLocker所攻擊使用者的分布
有許多網站被用在這些攻擊中。大約有800個淪陷網域被用來放置電子郵件中的圖片,或是作為郵件內連結的重新導向網站。同時,假網站本身都放在俄羅斯和土耳其的伺服器。
這些攻擊使用數量相對較少的命令和控制(C&C)伺服器,包括了:
- org(185.42.15.152)
- net(87.98.164.173)
- com(212.76.130.69)
- net(185.86.76.80)
- net(178.32.72.224)
- com(185.86.76.80)
- net(91.226.93.33)
- org(178.32.72.224)
- net(87.98.164.173)
最常用的伺服器是klixoprend.com,它放在185.86.76.80。該地址也被使用網域生成演匴法(DGA)的Tinba惡意軟體所用,它會建立像是rrbrhyuyeyqp.com的網域。有些伺服器放在俄羅斯和法國;C&C網域透過網域私人服務註冊,所以我們無法進一步取得他們的詳細註冊資訊。
趨勢科技的解決方案持續地更新以全方面地偵測此威脅。客製化防禦解決方案可以識別可疑行為來有效地封鎖這類攻擊。我們已經偵測和這次攻擊所使用內容相似的電子郵件,並且封鎖來自和此攻擊活動相關連IP地址所發送的郵件。來自垃圾郵件的網址和類似的誤植網域也都被封鎖以防止TorrentLocker的下載。基於相同原因,包含這些檔案的檔案代管網站網址也被封鎖。
這起威脅的相關檔案被偵測為TROJ_CRYPLOCK.XXSM。C&C伺服器也被封鎖以防止使用者檔案被加密成功。
此外,趨勢科技建議組織採用以下最佳實作以減輕TorrentLocker所可能引起的任何傷害:
- 建立備份策略
- 建議使用者小心要求驗證碼的網站–特別是如果它們來自電子郵件內的連結
- 當遇到圖形驗證碼(如果有疑問),請打電話聯絡該單位
- 告知使用者關於你的地區內所會使用的社交工程伎倆。社交工程誘餌包括:
- 澳洲的超速罰單
- 英國的天然氣/電費帳單和包裹通知
- 歐陸的快遞送貨通知
- 台灣的求職履歷表
再一次地,如果對郵件有疑問就用電話再次確認
@原文出處:TorrentLocker Surges in the UK, More Social Engineering Lures Seen作者:Paul Pajares(詐騙分析師)和Jon Oliver(資深技術總監)
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載