《最新勒索病毒》Darkside 先評估目標企業財力,再決定贖金數目/ Crysis 釋出連菜鳥駭客也能上手的工具套件

過去幾週,趨勢科技發現勒索病毒出現最新發展。首先是一個新的勒索病毒家族 (Darkside) 之外,Crysis/Dharma 勒索病毒集團也釋出了一個駭客工具套件。
另外,在訊息威脅部分,我們發現了一波專門散布 Negasteal/Agent Tesla 惡意程式的針對性電子郵件攻擊。

Darkside 先評估目標企業財力,再決定贖金數目/ Crysis 釋出連菜鳥駭客也能上手的工具套件

Darkside 勒索病毒:先評估攻擊目標財力,再決定要勒索多少錢


一個名叫「Darkside」的新勒索病毒家族 (趨勢科技命名為:Ransom.Win32.DARKSIDE.YXAH-THA最近浮上檯面。此勒索病毒會要脅受害者若不支付贖金,將公布受害者的資料,此手法與之前的 MazeNefilim 勒索病毒類似。被加密的檔案,其副檔名會被加上受害者電腦的網路卡 (MAC) 位址。

根據勒索病毒的 Tor 網頁,其幕後犯罪集團其實會評估目標企業的財力,然後再決定要勒贖的金額。除此之外,駭客似乎不會攻擊醫療、教育、非營利及政府等機構。

圖 1:Darkside 勒索訊息內容。

Crysis 勒索病毒釋出就連菜鳥駭客也能輕鬆滲透網路的駭客工具套件


Crysis/Dharma 勒索病毒 (趨勢科技命名為  Ransom.Win32.CRYSIS.TIBGGS) 最近釋出了一個名為「Toolbox」的駭客工具套件。 Toolbox 當中包含了專門用來搜刮密碼的 Mimikatz、專門用來竊取遠端桌面協定 (RDP) 密碼的 NirSoft Remote Desktop PassView、專門用來竊取雜湊碼的 Hash Suite Tools Free,以及其他用來搜尋攻擊目標電腦並植入勒索病毒的工具。有了這個套件,就連菜鳥駭客也能輕鬆滲透網路。

由於 Crysis 採用的是勒索病毒服務  (RaaS) 的經營模式,因此這套工具有助於讓它散播得更廣。

延伸閱讀:” 只要 39 美元便提供「終身授權」” —深層網路上的勒索病毒服務(RaaS),對企業的意義為何?

Negasteal/Agent Tesla 經由電子郵件散發,鎖定銀行客戶


我們最近發現了一波電子郵件攻擊專門經由惡意附件散布 Negasteal/Agent Tesla 惡意程式 (趨勢科技命名為 TrojanSpy.MSIL.NEGASTEAL.DYSGXT),此波攻擊的對象是泰國一家國有銀行 Krung Thai Bank (泰京銀行) 的客戶。電子郵件內容是有關「對外匯款交易」的收據,匯款金額將近 9,000 美元,郵件內容會請使用者下載並參閱附件檔案。附件檔案是一份會攻擊 Microsoft Office  CVE-2017-11882 漏洞的文件 (這是一個已經有 17 年歷史的 Microsoft Office 記憶體內容損毀漏洞),一旦攻擊成功,就可以下載惡意檔案到受害電腦上執行。

首次發現於 2014 年的 Negasteal 一直以來都會經由網站控制台、FTP 或 SMTP 傳送竊取的資料。最近,我們發現它會經由可卸除式裝置流傳,因為它會竊取 Becky!Internet Mail 的登入憑證。

圖 2:含有 Negasteal 惡意附件的電子郵件樣本。

入侵指標資料

Darkside 勒索病毒

SHA-256趨勢科技病毒碼偵測名稱
9cee5522a7ca2bfca7cd3d9daba23e9a30deb6205f56c12045839075f7627297

Ransom.Win32.DARKSIDE.YXAH-THA

網址

  • hxxp://darksidedxcftmqa[.]onion/

Crysis/Dharma 勒索病毒

SHA-256檔案名稱趨勢科技病毒碼偵測名稱
1cec5e4563e2c1570353e54a4ecc12ab4d896ab7227fd8651adcd56b884c0c1cGdAgentSrv.de.dllHackTool.Win64.CVE20160099.A
28042dd4a92a0033b8f1d419b9e989c5b8e32d1d2d881f5c8251d58ce35b9063process-hacker-2-39.exePUA.Win32.ProcHack.A
3680b9e492f49abc108313c62ceb0f009d5ed232c874cae8828c99ebf201e075takeaway.exeRansom.Win32.CRYSIS.TIBGGS
47dc3672971c242154a36622145de7060f17f56af75d21e2130e4f57089f5e48takeaway.exeRansom.Win32.CRYSIS.TIBGGS
75d9d85b152e030eb73d17c691203b49bf593ea6a4bddeae48ca255b22c2d36dtakeaway_ps1Trojan.PS1.CRYSIS.AA
77cbab006cf6a801dbd1c752659bddf28562fb8681d20305dd1dc0b1e105c67atakeaway.exeRansom.Win32.CRYSIS.TIBGGS
78983ad10fe05fadccb201dd3e8c7f952e93332433a42e3d331531c5497d1330winhost.exeRansom.Win32.CRYSIS.TIBGGQ
b0b8fd4f6ab383014ea225c2b7776735af059f526cd7c4fdbdcb2e99d074ade7takeaway.exeRansom.Win32.CRYSIS.TIBGGS
b2d2f4ecbc680d590743044744b3ff33c38e4aeb0ada990b0ae7be8291368155takeaway.exeRansom.Win32.CRYSIS.TIBGGS
b5a69f7c4a3681a753f3512e3b36ac06c6ddbb1129a3e87f8c722ff4f9834f0apurgeMemory.ps1Trojan.PS1.KILLSVC.Ahacktool
edef024abe48d6ed7b4757d63a8fd448a8ecf1ad15afd39cc97c97b27ed4498e

takeaway.exeRansom.Win32.CRYSIS.TIBGGS

ef5f2ce1a4d68d656400906ae906b0c7e7f61017f14840a7ac145d59ee69a4bdtakeaway.exeRansom.Win32.CRYSIS.TIBGGS

f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446NS2.exHackTool.Win32.NetTool.A

Negasteal/Agent Tesla

SHA-256趨勢科技病毒碼偵測名稱
58e74875b3659fa34aa1ecefba1a43cc049b7bb1c83de5a26ec8045c60f1099e

Trojan.W97M.CVE201711882.YQUOOUM
6991150c06b278712b052377ef768ca80923ff9c3396e7de18fa0fbce7211c96TrojanSpy.MSIL.NEGASTEAL.DYSGXT

原文出處:Threat Recap:Darkside, Crysis, Negasteal, Coinminer 分析師:Miguel Ang、Raphael Centeno、Don Ovid Ladores、Nikko Tamaña 與 Llallum Victoria

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用 ,分享使用心得,還可抽 iPhone

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FB IG Youtube LINE 官網