Skip to main content

趨勢科技與英國國家打擊犯罪調查局合作進行逮捕行動並關閉Refud.me及Crytex Reborn惡意服務

 

網路犯罪 打擊罪犯 警方逮捕security-collaboration

來自英國艾塞克斯郡科爾切斯特鎮逮捕兩名22歲的一男一女,他們涉嫌經營反防毒(CAV)服務Refud.me和加密服務Cryptex Reborn。目前這兩個服務都已經被關閉,這要歸功於趨勢科技的前瞻性威脅研究團隊與​和英國國家打擊犯罪調查局(NCA)的攜手合作。

Refud.me以及Cryptex Reborn是龐大地下經濟的兩個重量級大咖,迫使它們停止運作是是防止網路犯罪工作的里程碑。
「這項調查活動是趨勢科技與英國國家打擊犯罪調查局(NCA)及其他合作夥伴共同解決網路犯罪生意部分核心元件的成果,」趨勢科技的前瞻性威脅研究團隊資深協理Martin Rolser如此表示。早在2015年七月,趨勢科技和NCA就簽署了備忘錄(MOU),為打擊網路犯罪邁出重大一步。該協議還成立一個跨組織虛擬團隊來找出創新方式以解決特定網路犯罪威脅。共同合作成果的逮捕行動在早些時候的新聞稿中公布。

 

Refud.me及Cryptex Reborn

Refud.me及Cryptex Reborn曾在Hackforums.net等以討論駭客、技術和遊戲著稱的網路犯罪地下論壇大量曝光。

 

圖1、Refud.me在Hackforums.net上的掃描結果貼文樣本

 

Refud.me從2015年二月底就一直在Hackforums.net上廣告, 2015年六月底加入的「掃描監視」功能,可以對上傳檔案持續進行掃描和回報偵測狀態。

 

圖2、refud.me服務

Refud.me提供CAV掃描器,允許使用者上傳想掃描樣本,接著用最常見的30到40家防毒公司產品測試是否可以偵測。目標是要確保惡意軟體作者在釋放惡意軟體攻擊目標前,避免被偵測。特別要說的是,也存在著類似的合法多重掃描服務,但CAV的主要差別是會關閉與各家防毒公司共享樣本或是反饋資料,這也在其一向主打的功能。

另一方面,Cryptex Reborn提供加密服務,這指的是拿到一個程式時,通常是惡意軟體,會加以修改以試圖繞過各大防毒公司的掃描引擎。惡意軟體經過這樣修改後,在釋放時可以不被防毒軟體所偵測,稱為FUD(完全偵測不到)。這通常沒有算上現代防毒引擎更加進階的啟發式功能。

Cryptex Reborn工具包在這些日子以來經歷了幾次重大更新。原本的工具只被稱為「Cryptex」,至少從2011年10月就已經出現,2011年之後分成兩個加密工具 – 「Cryptex Lite」和「Cryptex Advanced」,每個都具備不同等級的功能。這些工具經常會更新版本以對應防毒引擎新的改進。目前這一代的Cryptex工具包命名為「Cryptex Reborn」,在2014年9月首次發表。

 

圖3、工具廣告

 

「協助打擊這樣的惡意活動是我們為了保持更加安全的數位資訊交換世界所持續進行努力的一部分,這是為了我們的客戶和網路大眾,」Martin Rosler說。

 

趨勢科技一直認為公私合作是可以長久打擊網路犯罪的關鍵。在十月份,我們與美國聯邦調查局(FBI)及數個資安廠商合作來關閉以銀行為目標的DRIDEX殭屍網路。我們也在今年初與國際刑警組織(INTERPOL)及其他廠商一起合作關閉SIMDA殭屍網路

 

@原文出處:Trend Micro, NCA Partnership Leads to Arrests and Shutdown of Refud.me and Cryptex Reborn