一所俄亥俄州學校在 5 月底被迫停課一天,原因是學校的網路及電腦遭到 Trickbot 攻擊。卡文特里地方學校 (Coventry Local School District) 在停課前一天發表的 Facebook 最新動態中表示,由於系統在受到惡意軟體感染,因此學校需要關閉,試圖恢復正常運作。
根據《艾克隆燈塔報》(Akron Beacon Journal) 的報導,FBI 判定感染是從學校出納組的電腦開始,擴散至仰賴校區網路的各種運作系統,影響最大的就是電話和暖氣、通風及空調 (HVAC) 系統停擺。
[請參閱:Trickbot 新增遠端應用程式憑證竊取功能]
卡文特里地方校區督學 Lisa Blough 表示,IT 人員雖然發現網路異常活動,但防毒軟體並未判定為惡意性質,並表示校方沒有懷疑有學生涉入網路攻擊。事實上,FBI 確認這是由犯罪組織發動的攻擊,並指出惡意軟體的目標是竊取受影響使用者的銀行資訊或金錢。Blough 表示有兩名員工的 Amazon 帳戶在這次事件中遭到入侵。
ZDNet 報導則指出學校於隔天恢復上課,並重新安裝 1,000 多台電腦。
[請參閱:Trickbot 擴展伎倆手法]
Trickbot 是現今網路罪犯所使用最危險的惡意軟體之一,不但具有模組化性質,還能持續改變植入和散佈方法。事實上,美國國土安全部 (United States Department of Homeland Security) 三月針對 Trickbot 發佈安全入門說明,以因應這波猖獗的惡意軟體攻擊。
Trickbot 是一種金融特洛伊木馬病毒,最初用於竊取線上銀行網站憑證。不過網路罪犯多年來為了進行惡意活動,不斷調整 Trickbot 的攻擊模式和能力。這項病毒將持續演進,超越常見的金融特洛伊木馬病毒的既有模式,掠奪更多不知情的使用者。
以下舉出一項近期案例:我們在卡文特里地方校區停課的同一週,發現另一種 Trickbot 變體,惡意軟體會透過貌似正常的訂單確認電子郵件入侵,如果使用者點擊嵌入連結而重新導向到已知網站,病毒就可能躲過偵測技術。不過,點選偽裝連結就會同時下載 Trickbot,並以惡意常式繼續活動。
使用者及組織可利用下列方式保護自己,避免這類可能傳遞 Trickbot 的垃圾電子郵件攻擊和網路釣魚技術:
- 留意不明寄件者含有附件或連結的可疑電子郵件及訊息。請勿下載、開啟或點選附件或連結,除非電子郵件是由正當來源寄送。
- 盡可能啟用線上帳戶的多因素驗證功能。
- 所有帳戶都使用複雜密碼,並定期更換密碼。
- 向組織網路管理人員回報裝置遺失或遭竊事件,以便讓管理人員針對遭竊或外洩的憑證採取額外驗證措施。
IT 管理員要特別監控網路,掌握可能惡意活動異常增加的情形,以警告組織可能遭受攻擊或入侵。IT 管理員也應安裝多層防護功能,以防禦系統對抗惡意電子郵件及網址,範圍涵蓋閘道至端點。
◎原文來源:: Trickbot Attack Forces Ohio School District to Cancel Classes