2019 年我們發現 REvil 等勒索病毒集團與系統駭入集團結盟,專攻大型企業,近日趨勢科技 發現兩隻新的勒索病毒 – AlumniLocker和Humble,它們在加密後展現不同的複雜行為和勒索手法。這些手法包括了異常高的勒贖金額以及威脅要公開受害者的重要資料。這些新變種證明勒索病毒的針對性和勒索性在2021年仍然存在。
我們最近發現AlumniLocker勒索病毒(Thanos勒索病毒的變種)會要求10比特幣的贖金(在本文撰寫時約457,382.60美元)。如果受害者沒有在48小時內付錢,攻擊者還威脅會將受害者資料公布到他們的「恥辱牆」網站。
AlumniLocker會經由惡意的PDF附件檔夾帶。根據我們的調查,這PDF檔是個假發票,藉以誘使受害者下載。
惡意PDF檔內包含一個連結(hxxps://femto[.]pw/cyp5),一旦點擊連結就會下載一個包含下載器的ZIP檔。
繼續閱讀惡名昭彰的 Nefilim以其雙重勒索手段在2020年展開高調攻擊。本文裡將概述其所用的技術和工具。
Nefilim是最為人所知的勒索病毒Ransomware (勒索軟體/綁架病毒)之一,會在活動時運用雙重勒索手段。Nefilim最初於2020年三月出現 ,揚言公開受害者被竊的資料來迫使他們支付贖金。除了使用這種策略外,Nefilim另一個知名特色是與Nemty的相似。事實上,它被認為是早期勒索病毒的演進版本。
我們對此活躍的勒索病毒進行了簡要分析,並且介紹如何保護系統抵禦攻擊。
延伸閱讀:Nefilim 勒索病毒威脅曝光企業資料, 趨勢科技建議四步驟防止 RDP 遭利用
繼續閱讀在去年有好幾次高調的攻擊事件背後都有Sodinokibi(REvil)的影子。我們在本文裡將會利用遇過的一些案例來描述其攻擊過程。
(2021/3更新:台灣在今年也發生相關攻擊:宏碁傳出疑似遭到勒索軟體REvil攻擊,駭客索討5千萬美元贖金)
Sodinokibi(REvil)勒索病毒 Ransomware (勒索軟體/綁架病毒)最早是在2019年4月被偵測到,並且和已經宣布收手的GandCrab有關聯。從那之後,Sodinokibi (REvil)進行了數次備受矚目的攻擊,一直持續到2020年,讓它成為值得注意的勒索病毒家族之一。我們在這裡會介紹Sodinokibi(REvil)一般的攻擊過程。
延伸閱讀: REvil 等勒索病毒集團與系統駭入集團結盟,專攻大型企業
Sodinokibi(REvil)的使用者通常會僱用各種下游組織來進行初始進入。通常會使用熟悉的手法,如帶有魚叉式釣魚(spear phishing)連結或附件檔的垃圾郵件,使用有效帳號進行RDP連線,入侵網站以及漏洞攻擊。也常會使用其他具有針對性攻擊性質的技術。
繼續閱讀2020 年 12 月初,美國聯邦調查局 (FBI) 發布了一項關於 DoppelPaymer 勒索病毒的警告。該病毒首次出現於 2019 年,在 2020 一整年當中都持續活躍,製造不少讓受害者營運癱瘓的事件。
2020 年 12 月初,美國聯邦調查局 (FBI) 發布了一項關於 DoppelPaymer 勒索病毒的警告,該病毒首次出現於 2019 年,當時一些關鍵的產業都受到了攻擊。2020 一整年,該病毒都一直持續活動,尤其在下半年發動了多起攻擊事件造成受害者營運癱瘓。
DoppelPaymer 應該是從 BitPaymer 勒索病毒 (首次出現於 2017 年) 所衍生出來,因為它們的程式碼、勒索訊息、付款網站都有相似之處。不過值得注意的是 DoppelPaymer 與 BitPaymer 還是有些差異,例如,DoppelPaymer 使用「2048 位元 RSA + 256 位元 AES」加密機制,但 BitPaymer 卻是使用「4096 位元 RSA + 256 位元 AES」加密機制 (舊版則使用「1024 位元 RSA + 128 位元 RC4」)。此外,DoppelPaymer 也改善了 BitPaymer 的加密速度,使用多重執行續來執行檔案加密。
曾導致巴西最高法院慘暫停開庭、攻擊日本影像及光學大廠柯尼卡美能達(Konica Minolta)的RansomExx 勒索病毒,在 2020 年製造了多起知名攻擊事件,本文分析它所使用的技巧,包括:運用木馬化軟體來散播惡意檔案,以及又快又猛的攻擊方式。
RansomExx 勒索病毒在 2020 年製造了多起知名的攻擊事件,目前有跡象顯示它仍在持續發展當中,並且相當活躍。最新的報告顯示,它開發了新的變種來專門攻擊 Linux 伺服器,而這等於是將攻擊範圍拓展到 Windows 伺服器之外。
根據監測資料顯示,RansomExx 正在攻擊美國、加拿大和巴西的企業,並且持續發現 Linux 變種的活動足跡。本文詳細說明我們對某起 RansomExx 攻擊的分析,此攻擊本首先利用 IcedID 惡意程式來入侵企業,成功之後再使用 Vatet 來載入 Pyxie 和 Cobalt Strike。經由這整套工具,駭客約只需五小時的時間就能完成整個入侵到植入勒索病毒的程序。
RansomExx 勒索病毒的背後是一個 SecureWorks 命名為「GOLD DUPONT」的駭客集團,該集團從 2018 年活躍至今。根據其最新的攻擊顯示,該集團入侵企業的手法相當迅速有效。他們會使用 Vatet、PyXie、Trickbot 和 RansomExx 等惡意程式,以及像 Cobalt Strike 這類駭客工具,都是該集團常用的攻擊武器。
此勒索病毒之所以值得注意,是因為它運用了 2020 年勒索病毒攻擊常見的技巧,包括運用木馬化軟體來散播惡意檔案,以及又快又猛的攻擊方式。
繼續閱讀