「客製化」勒索病毒Defray,最愛的四個產業

勒索病毒最愛的醫療保健、教育、製造及科技組織

到處肆虐的勒索病毒 Ransomware (勒索軟體/綁架病毒)一般是以「亂槍打鳥」的方法感染,新興勒索病毒 Defray (由趨勢科技偵測到的 RANSOM_DEFRAY.ARANSOM_DEFRAY.B) 則鎖定特定攻擊目標。報告指出,Defray 散播者利用量身訂製的社交工程(social engineering )手法,將目標鎖定在勒索病毒最愛的醫療保健、教育、製造及科技組織,特別是醫療保健業

defray ransom

Defray 冒充「醫院 IT 管理者」,寄送病患報告

Defray 和大多數的勒索病毒一樣,透過網路釣魚(Phishing)電子郵件散播,它會嘗試強迫受害者下載惡意檔案。2016 年趨勢科技報告指出電子郵件是最常見的進入點,有 79% 勒索病毒來自垃圾郵件。

Defray冒充「醫院 IT 管理者」偽裝寄送病患報告的網路釣魚電子郵件。趨勢科技也發現有些網路釣魚郵件,偽裝成一家英國的水族公司,要求收件者報價或訂購產品,而惡意檔案上附有「官方」標誌。這些郵件的針對性及細節清楚顯示,攻擊者努力讓攻擊目標相信其真實性,而量身訂製的誘餌,顯示攻擊者正在鎖定更具體的攻擊目標。

defray note

1Defray 勒索郵件中包括針對 IT 部門發出的特定訊息

儘管惡意檔案表面名稱不同,但內容是相同的。攻擊者使用內嵌 OLE 封裝程式物件的 Word 文件,如果受害者點擊 OLE 檔案,就會安裝勒索病毒 (偽裝成 taskmgr.exe 或 explorer.exe 檔案)。接著將會出現勒索訊息,要求受害者交付價值 5,000 美元的比特幣,訊息中亦提供三個可供聯絡開發者的電子郵件地址,甚至可以協商付款,勒索病毒還另外提供替代的通訊方式: BitMessage。報告證實 Defray 在加密檔案之後,會追蹤可能干擾其運作的程式,並使用 GUI 將工作管理員或網頁瀏覽器關閉。

解決方案及建議

勒索病毒製作者的攻擊行動越來越聰明,而資安專家也越來越瞭解新興技巧與技術,能夠更妥善地捍衛其組織與企業。有一些防範勒索病毒最佳做法是每個 IT/系統管理員都應該實行的,而有效的多層防護解決方案也有助於防禦這些威脅。

電子郵件及網站閘道解決方案,例如 趨勢科技 Deep Discovery™ Email InspectorInterScan™ Web Security 可避免勒索病毒接觸到一般使用者。而在越來越多更為先進的惡意軟體規避傳統安全措施時,Trend Micro Deep Discovery™ Analyzer 可運用跨世代技術 (例如自訂沙盒分析 [Custom Sandbox Analysis]) 偵測鎖定目標式的勒索病毒。在端點層級,趨勢科技 Smart Protection Suites 提供多項功能以降低勒索病毒的影響,例如高度擬真 (high-fidelity) 機器學習、行為監控、應用程式控制,以及漏洞防護等。

⊙原文來源: Defray Ransomware Sets Sights on Healthcare and Other Industries