專攻擊知名企業的「雙重勒索」Egregor勒索病毒不只加密資料,還會主動通知媒體,讓被駭企業消息曝光

Egregor是一種複雜的勒索病毒 Ransomware (勒索軟體/綁架病毒),在2020年9月首次出現,接著參與許多知名的攻擊,目標包括了大型零售業者及其他組織。

在2020年底,Maze勒索病毒(近期最惡名昭彰的勒索病毒家族之一)背後組織宣布關閉運作。不過就在Maze退役後不久,被稱為Egregor的勒索病毒就跟著接班,據稱已成為之前Maze勒索病毒聯盟夥伴,繼續駭人的首選勒索病毒。Egregor跟Maze一樣使用了「雙重勒索」技術,駭客不僅威脅受害者不支付贖金將會失去資料,而且還會公開其資料。

◼2021/1/8 更新:美國聯邦調查局(FBI)對企業發出警告,要當心 Egregor 勒索軟體。

使用先進的混淆技術 的Egregor


Egregor是一種複雜的勒索病毒,在2020年9月首次出現,接著參與許多知名的攻擊,目標包括了大型零售業者及其他組織。

2020 年底智利最大零售集團 Cencosud 遭到 Egregor 勒索,收銀機檔案被加密後,還不斷印出勒索訊息。(如下圖)

這隻勒索病毒通常會跟QAKBOT之類的遠端訪問木馬(RAT)一起派送。而QAKBOT之前也被發現跟MegaCortex和ProLock勒索病毒家族有關,這顯示QAKBOT和Egregor間可能存在合作關係,或者是QAKBOT組織的新病毒。

跟 Ryuk 等新型勒索病毒家族使用的雙重勒索技術類似,Egregor 威脅要公開被竊資料來迫使受害者付款。除了加密資料外,Egregor幕後駭客也威脅要通知媒體,來公開企業遭受入侵的消息。

繼續閱讀

勒索病毒攻擊如何對零售業造成影響?

網路犯罪分子最近集中火力在對零售業發動勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊,如果企業在這重要的購物季節被打亂了運作,可能會帶來災難性的後果。

網路犯罪分子最近集中火力在對零售業發動勒索病毒攻擊,如果企業在這重要的購物季節被打亂了運作,可能會帶來災難性的後果。

從短期來看,零售業遭遇勒索病毒攻擊代表成千上萬銷售機會的損失。黑色星期五網路星期一和聖誕節一向是零售業一年中最忙碌的時間。因為有著眾多的選擇,消費者並不缺少買東西的地方。如果業者無法提供滿意的服務,那麼消費者就會轉向其他地方購買。

而更大的損害可能是在商譽方面。POS交易失敗、貨物送達時間過長及”不安全”的印象可能會讓客戶轉向能夠提供更好、更安全購物體驗的競爭對手。

Egregor是一種複雜的勒索病毒,在2020年9月首次出現,接著參與許多知名的攻擊,目標包括了大型零售業者及其他組織。

2020 年底智利最大零售集團 Cencosud 遭到 Egregor 勒索,收銀機檔案被加密後,還不斷印出勒索訊息。(如下圖)

零售攻擊裡最常見的勒索病毒: 能提供RaaS模式的勒索病毒相當受到惡意份子歡迎


從趨勢科技Smart Protection Network提供的資料可以看出有許多勒索病毒被用來攻擊零售業者。Sekhmet是隻相對較新的勒索病毒,具備更強的反混淆能力,在我們的資料中是偵測數第二多的勒索病毒。儘管對Sekhmet所知不多,但據報它已經成功感染了數家組織。這隻勒索病毒特別令人震驚的是,除了會加密檔案,攻擊者還威脅要公開被竊數據 – 對未支付贖金要求的受害者造成雙重打擊。對零售業者來說,這意味著它可能會洩漏客戶資料,進一步損害商譽,甚至造成法律後果。

某些Sekhmet變種是以勒索病毒即服務(RaaS)的形式提供,這代表了不僅是作者會使用它,所以可能在未來出現更多該勒索病毒及變種的攻擊。

繼續閱讀

《勒索病毒》專挑金融國防產業,偷極敏感資訊的Ryuk,為何總能取得巨額贖金?

有別於其他勒索病毒集團「亂槍打鳥」的方式,Ryuk 勒索病毒集團會鎖定特定目標,並索取較高的贖金。由於 Ryuk 犯罪集團的目標通常是一些 極為敏感的資訊,並且專門鎖定金融和國防之類的產業,因此受害機構通常會在不得已的情況下支付一筆巨額贖金。

隨著資安情勢的發展,今日的威脅經常會同時衝擊企業營運基礎架構的多重層面。為了偵測及回應像這樣的攻擊,企業通常會採用各種專為個別層面而非整體系統而設計的資安工具。

有些企業會導入資安事件管理 (SIEM) 平台來協助他們彙整每天遭遇到的各種威脅。這樣的作法雖然有效,但 SIEM 系統的價格和營運成本卻很高。此外,企業還得靠資安營運中心 (SOC) 來過濾大量的資料以進行交叉關聯分析。至於一些其他的資安解決方案,雖然各個都具備強大的偵測及回應能力,但卻缺乏完整的監測資料來看到威脅的全貌。

為了讓大家了解今日 SOC 所面臨的威脅,以及他們需要什麼樣的資安解決方案好應付這類威脅,以下此提供一個真實案例來說明。

繼續閱讀

趨勢科技加入 No More Ransom 反勒索病毒平台,四年來解密超過 7,700 萬份檔案

作者:Ed Cabrera(趨勢科技網路安全長)

在過去幾年間勒索病毒持續造成網路威脅,目前在主要針對攻擊目標是組織而非一般消費者,同時使用越來越複雜的工具和策略,而這些惡意活動的幕後黑手們在COVID-19新冠狀病毒(COVID-19, Coronavirus俗稱武漢肺炎)疫情爆發期間還變得更加的活躍。這也是為什麼我們需要像No More Ransom 反勒索病毒平台這樣的合作夥伴。

該計畫已經成立了四周年,幫助了超過400萬的受害者對抗勒索病毒並且省下了數億美元。而趨勢科技也為能夠替受害者解密超過7,700萬份檔案而感到自豪。

勒索病毒仍是企業嚴重的威脅  新冠肺炎期間,醫院也不能倖免被鎖住關鍵系統


勒索病毒已經存在我們身邊多年,不過直到2017年全球WannaCry(想哭)勒索病毒和 NotPetya 事件後才真正成為主流。不幸的是那只是個開始。今天沒有誰是安全的。在2019年我們看到美國各市政府、學校和醫院面臨了越來越多的攻擊。而最近一家連網技術巨頭發生的重大事件影響了從消費性運動手環一直到飛航系統。

這些攻擊對受害組織造成了重大打擊。嚴重的服務中斷會對商譽及財務造成相當大的影響,而且因為攻擊者現在都會在加密受害者檔案前竊取資料,讓風險變得更加嚴重。一個例子是最近一家美國雲端運算服務商發生的事件導致英國和北美超過20所大學和慈善機構的資料外洩。而今年早些時候另一起託管服務商遭遇的勒索病毒攻擊也導致其損失可能高達7,000萬美元

繼續閱讀

Ensiko:具備勒索病毒能力的網站指令介面工具 (Webshell)

Ensiko 是一個具備勒索病毒能力的 PHP 網站指令介面工具 (webshell),可攻擊各種平台,包括:Linux、Windows、macOS 或任何其他安裝了 PHP 的平台。此惡意程式可讓駭客從遠端遙控被感染的系統,接收駭客的指令執行一些惡意活動。

此外也可以執行一些指令然後經由 PHP 反向指令介面工具 (reverse shell) 將結果傳回給駭客。此外,它還可掃描伺服器上是否還有其他 webshell 存在, 或是破壞網站門面、發送大量郵件、下載遠端檔案、洩漏被感染伺服器的資訊、利用暴力登入方式試圖駭入 FTP、cPanel 與 Telnet,以及覆寫特定副檔名的檔案等等。

技術細節

Webshell 認證

此惡意程式具備密碼保護能力,在認證時它會顯示一個「Not Found」(找不到) 的頁面,內含隱藏的登入表單,如以下二圖所示:

圖 1:Not Found 頁面與隱藏的登入表單。

圖 2:用來進行密碼驗證的 PHP 程式碼。

本文中的樣本密碼是「RaBiitch」,下圖顯示我們攔截到的 webshell 控制台認證請求網路封包內容:

繼續閱讀