【勒索軟體】鎖定中小企業的TorrentLocker和CryptoWall改變戰術

勒索軟體 Ransomware背後的惡意份子已經將目標放到消費者以外,將攻擊延伸到中小企業(SMB)。這區塊是勒索軟體 Ransomware很好的潛在目標,因為中小企業不太會有如大型企業那樣複雜的解決方案。同時中小企業主也通常有能力支付贖金。

ransomeware 勒索軟體

此外,中小企業也不太可能具備如大型企業那樣全面的備份方案,增加支付贖金的可能性。想像一間擁有少於50名員工的公司。裡面的主管收到了一封內嵌看似正常網址的電子帳單郵件。他們點了連結而導致感染勒索軟體 Ransomware。不幸的是該公司並沒有備份資料。因此會讓他們傾向選擇支付贖金以換回檔案。但付錢取回檔案很可能會鼓勵網路犯罪分子在未來進行更多波攻擊。

這轉變中我們所看到最明顯的例子是TorrentLockerCryptoWall,這是現今最持久也最大量的勒索軟體 Ransomware變種。

從2015年六到七月,趨勢科技觀察到多數點入CryptoWall相關電子郵件內惡意連結的使用者屬於中小企業用戶。

 

多數點入CryptoWall 勒索軟體設下的釣魚郵件受駭者,近七成為中小企業用戶....
多數點入CryptoWall 勒索軟體設下的釣魚郵件受駭者,近七成為中小企業用戶….

 

雖然大多數TorrentLocker相關網址是由消費者(46.36%)點入,但中小企業也緊跟在後(42.15%)。

圖2、從網址分布可以看出TorrentLocker針對消費者和中小企業(2015年六到八月)(點入以看大圖)

 

攻擊在上班時間發動

CryptoWallTorrentLocker在目標受害者時區的早上寄送垃圾郵件,顯示其目標是企業用戶。我們將2015年七月初所發生8波攻擊中點入已確認CryptoWall網址的狀況整理成下圖3。我們看到目標受害者在上午9點到下午1點間點入這些連結,攻擊開始於九點跟一般人的上班時間恰恰吻合。

圖3、攻擊爆發當天的每小時惡意網址點擊量 – 2015年七月(點入以看大圖)

 

用來滲透企業用戶的社交工程誘餌

 

今年大部分用於勒索軟體的社交工程(social engineering )誘餌都和企業活動更加相關。例如CryptoWall會用履歷、訂單和護照作為其垃圾郵件主旨,如下圖所示。

圖4至6、CryptoWall垃圾郵件樣本

 

雖然CryptoWalll所用誘餌不會綁定區域,但TorrentLocker卻以其對區域特製化而知名,它們的社交工程誘餌會依受害國家設計。此類威脅通常會利用郵遞服務、電信、公共事業和政府機構通知。

 

根據我們主動式雲端截毒技術的反饋資料,澳洲(31.54%)、義大利(26.60%)和土耳其(20.40%)是TorrentLocker相關電子郵件最針對的三個國家。我們研究了經常被用在這些國家的誘餌。例如,在土耳其利用快遞服務,Turkish Cargo被用來誘騙使用者執行惡意檔案。但TorrentLocker在義大利就不只是用快遞服務作誘餌,從SDA為ENEL都有,後者是公用事業公司。此外,惡意分子還加入電信公司,Italia Mobile(TIM)在八月成為誘餌之一。在澳洲還是一樣利用偽造的澳洲郵政和澳洲聯邦警政署郵件作誘餌來欺騙澳洲使用者。

 

部分TorrentLocker社交工程是針對一般消費者,例如偽造來自澳洲聯邦警察署(AFP)的超速罰單。不過大多數誘餌跟企業活動有關,像是包裹通知,這是中小企業日常業務活動的重要一環。總之,TorrentLocker針對了一般消費者和中小企業。

 

值得注意的繞過安全防禦戰術

 

可以進一步證明勒索軟體 Ransomware將焦點變換到企業目標的證據是其所使用的閃避技術。部分TorrentLockerr變種具備自毀功能以防止IT人員採集樣本好建立安全措施來保護網路。登錄網頁使用驗證碼可以讓自動抓取工具和沙箱技術都更難識別惡意軟體樣本。如圖3所示,他們也優化時間點來最大化企業受害者數量,同時最小化安全廠商必須加以反應的時間。他們也會設法繞過防垃圾郵件程式和網頁過濾程式,像是使用多層淪陷網站來重導網路流量等技術。

 

另一個同時被用在TorrentLockerCryptoWall的戰術是利用淪陷網站來隱藏重新導向,進而避免在受感染系統上被偵測。大多數TorrentLocker相關淪陷網站位在美國(28%)。另一方面,大部分登錄網頁偽裝成澳洲郵政和澳洲聯邦警政署。對於義大利的受害者,網路犯罪分子偽造ENEL網站,對於土耳其的使用者,有看似Turkcell的假網站。

 

下面是登錄網頁的樣本:

圖7到9、偽裝成ENEL(第一張)、TIM(第二張)和Turkish Cargo(第三張)網站來誘騙使用者誤以為沒有惡意行為在背後發生(點入以看大圖)

 

有意思的是,TorrentLocker通常自檔案儲存網站(像是Yandex Disk和Cubby.com)下載以隱藏惡意檔案並避免被發現。我們還監視到我們所確認的C&C伺服器大多位在俄羅斯,一些位在德國和捷克。CryptoWall也會利用淪陷網站。

 

保護你的企業環境

 

勒索軟體 Ransomware已經從簡單的恐嚇軟體(如假防毒軟體)演化成會鎖住檔案和系統,進一步地利用恐懼來讓受害者支付贖金。我們相信勒索軟體會持續改善其戰術和將目標放到更多企業環境。我們在本篇中所提到的各種研究結果都支持此一目標上的轉變。

圖12、從恐嚇軟體到加密勒索軟體(點入以看大圖)

 

TorrentLocker和CryptoWall造成企業機密資料的嚴重風險。然而,中小企業可以透過提高對此類安全風險的警覺心和安全意識來保護自己的網路。光是簡單的先驗證電子郵件和連上網站前先檢查其信譽評比已經大有幫助。同時也建議員工預設不要啟用巨集以避免CryptoWall執行。我們也再三強調過備份檔案的重要性,最佳做法是按照3-2-1法則。增強員工對安全威脅及其社交工程誘餌的意識和了解是保護網路的重要一步。中小企業必須具備能夠完整保護他們系統和網路的安全解決方案,透過偵測惡意檔案和垃圾郵件並封鎖相關網址等技術在各層面防禦像勒索軟體 Ransomware這樣的威脅。

 

@原文出處:Businesses Held for Ransom: TorrentLocker and CryptoWall Change Tactics作者:Paul Pajares(網路詐騙分析師)和Jon Oliver(資深技術總監)

 

540x90 line 《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載