在過去幾天裡,趨勢科技一直在觀察一家總部位在法國的著名甜點公司網站 – Laduree.fr。雖然它看來不像是網路犯罪份子的目標,但是Ladurée的網站被入侵以用來讓使用者感染勒索軟體(Ransomware)。這個被偵測為TROJ_RANSOM.BOV的勒索軟體Ransomware會偽裝成來自國家憲兵隊的通知(法語:Gendarmerie nationale),俗稱法國警隊。它會出現一個涵蓋了整個桌面的視窗,並要求付錢,也就是它綁架系統的贖金。
了感染連上Ladurée網站的法國使用者外,日本也有出現感染的狀況。事實證明了Ladurée點心也在日本很流行。實際上,Ladurée網站就只有法語、英語和日語三種版本。
利用一家甜點公司的網站,可以看出網路犯罪分子的確可以很有彈性地挑選攻擊目標,並且找出潛在的受害者。
相關攻擊
在這起攻擊中,攻擊者利用黑洞漏洞攻擊包(Blackhole Exploit Kit)來將惡意軟體植入系統內。這也跟過去假冒其他執法單位的攻擊時,所用惡意軟體是同個家族,像是假冒德國的聯邦警察。這惡意軟體除了具備勒索軟體組件外,也會竊取跟一長串程式和網站相關的身分認證,包括了在地的電子郵件帳號、瀏覽器密碼、社群網站、撲克網站、FTP密碼和遠端桌面程式。
趨勢科技注意到這個用來放漏洞攻擊包網址的網域已經被停掉了。根據記錄,它是在2012年2月9日建立的,最後一次更新是在2月14日。這個網域的註冊者用的是.ru的電子郵件地址,這有可能助於找出可疑的嫌犯,不過它也可能只是個被盜用的電子郵件帳號,所以這類的資訊可能並不可靠。例如,WHOIS資料指出網域所有者位在莫斯科,但是電子郵件帳號卻說網域所有者應該是位在離莫斯科4個小時距離的城市。
我們還發現到位於相同IP網段,跟這次攻擊活動相關的網域。這些相關網站都來自同一個集團,但沒有用在這次的攻擊中。這群駭客集團還偽造了來自義大利、西班牙、德國、比利時等的警方通知。每個網域都是用不同的電子郵件地址註冊的,大多數都是.ru的電子郵件地址,但這很有可能是被盜的帳號。
勒索軟體成為有利可圖的商業模式
網路犯罪份子讓威脅變得更加有效和更難清除,也讓他們更有機會去賺大錢。然而,這次的勒索軟體攻擊也證明了,有時最簡單直接的威脅也是有用的。雖然對使用者來說,要求的贖金跟他們的資料價值比起來可能微不足道。但是如果將金額乘上好幾千倍,那麼就是一筆不小的數字,可以用來做出更加複雜,可能也更具破壞性的攻擊。
@原文出處:Compromised Website for Luxury Cakes and Pastries Spreads Ransomware作者:Robert McArdle(趨勢科技資深威脅研究員)
@延伸閱讀
上色情網站,電腦竟當機了? 勒索軟體:「給錢就解除」,2500人付了贖金
手機防毒不可不知 (蘋果動新聞 有影片)
TMMS 3.75 Stars in PC World AU
