加密勒索軟體TorrentLocker偽裝水電帳單,法院,快遞,郵局..等通知肆虐英國

趨勢科技注意到最近加密勒索軟體 Ransomware家族TorrentLocker相關電子郵件發送到一些國家的數量增加,特別是英國和土耳其。從5月上旬到6月10日,TorrentLocker相關電子郵件變得相對平靜。然而就在過了差不多兩個多星期(6月10日至6月28日),我們看到這種威脅再次出現。

勒索軟體 Ransom

在2014年底, TorrentLocker勒索軟體 Ransomware義大利傳出疫情。澳洲也曾是這些攻擊的主要目標(雖然其他國家也有受到影響),但最近英國成為最被青睞的對象。TorrentLocker相關電子郵件偽裝成來自公用事業(如英國天然氣)和政府機構(如內政部或司法部)。

這會導致連到這些單位的假網站,要求使用者輸入驗證碼。輸入這驗證碼會下載TorrentLocker到系統上;這看起來是要躲避沙箱技術的自動化測試。這些網站的截圖如下:

圖1、假的英國天然氣公司網站

圖2、假的英國內政部網站

 

其他國家像是義大利、波蘭、西班牙和土耳其也受到這一波加密勒索軟體 Ransomware的攻擊。用在這些國家的電子郵件利用郵政/快遞服務的名稱,還有電信公司(已知的例子包括SDA Express、Pozcta、Correo和Turkcell)。對澳洲使用者的攻擊已經變平靜,使用澳洲聯邦辦公室名義的電子郵件顯著下降。然而其他郵政/快遞服務(如澳洲的Couriers Please和Pack & Send)也遭到利用。

這些檔案所放置的地方也有所改變:之前它們放在檔案儲存網站,像是Sendspace、Mediafire和Copy.com。不過攻擊者已經轉到使用Yandex Disk。Cryptowall(另一個加密勒索軟體家族)現在主要是透過Google Drive下載。

我們在六月看到所下載的檔案名稱(和使用的社交工程(social engineering )誘餌)列在下表中:

社交工程 植入檔案
英國天然氣、內政部、司法部 case_14781.zip、info_5623.zip、notice.zip、info_61196.zip
Correo carta_certificada_140712.zip、carta_certificada_127845.zip、carta_certificada_748215.zip
DHL paket_95154.zip
Poctza informacje_przesylki.zip
Turkcell turkcell_fatura_192189779.zip
SDA Express Pacchetto_741596.zip, Pacchetto_241879.zip, Pacchetto_857560.zip, Pacchetto_278560.zip
ENEL Bolletta_856912.zip

 

正如我們前面所提到,來自英國的使用者最受TorrentLocker所針對。我們是根據TorrentLocker電子郵件的收件者數量判定。其他受影響國家包括澳洲、德國、義大利、西班牙、土耳其和美國。許多被針對的公司都屬於醫療保健產業。

圖3、TorrentLocker所攻擊使用者的分布

 

有許多網站被用在這些攻擊中。大約有800個淪陷網域被用來放置電子郵件中的圖片,或是作為郵件內連結的重新導向網站。同時,假網站本身都放在俄羅斯和土耳其的伺服器。

 

這些攻擊使用數量相對較少的命令和控制(C&C)伺服器,包括了:

 

  • org(185.42.15.152)
  • net(87.98.164.173)
  • com(212.76.130.69)
  • net(185.86.76.80)
  • net(178.32.72.224)
  • com(185.86.76.80)
  • net(91.226.93.33)
  • org(178.32.72.224)
  • net(87.98.164.173)

 

最常用的伺服器是klixoprend.com,它放在185.86.76.80。該地址也被使用網域生成演匴法(DGA)的Tinba惡意軟體所用,它會建立像是rrbrhyuyeyqp.com的網域。有些伺服器放在俄羅斯和法國;C&C網域透過網域私人服務註冊,所以我們無法進一步取得他們的詳細註冊資訊。

趨勢科技的解決方案持續地更新以全方面地偵測此威脅。客製化防禦解決方案可以識別可疑行為來有效地封鎖這類攻擊。我們已經偵測和這次攻擊所使用內容相似的電子郵件,並且封鎖來自和此攻擊活動相關連IP地址所發送的郵件。來自垃圾郵件的網址和類似的誤植網域也都被封鎖以防止TorrentLocker的下載。基於相同原因,包含這些檔案的檔案代管網站網址也被封鎖。

這起威脅的相關檔案被偵測為TROJ_CRYPLOCK.XXSM。C&C伺服器也被封鎖以防止使用者檔案被加密成功。

此外,趨勢科技建議組織採用以下最佳實作以減輕TorrentLocker所可能引起的任何傷害:

 

  • 建立備份策略
  • 建議使用者小心要求驗證碼的網站–特別是如果它們來自電子郵件內的連結
    • 當遇到圖形驗證碼(如果有疑問),請打電話聯絡該單位
  • 告知使用者關於你的地區內所會使用的社交工程伎倆。社交工程誘餌包括:
    • 澳洲的超速罰單
    • 英國的天然氣/電費帳單和包裹通知
    • 歐陸的快遞送貨通知
    • 台灣的求職履歷表

再一次地,如果對郵件有疑問就用電話再次確認

 

 

@原文出處:TorrentLocker Surges in the UK, More Social Engineering Lures Seen作者:Paul Pajares(詐騙分析師)和Jon Oliver(資深技術總監)
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

 

 

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接
推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

防毒軟體推薦免費下載,中毒了嗎?趕緊掃毒! Av test 防毒軟體評比排名第一,趨勢科技 PC-cillin 2015雲端版

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載