勒索病毒 Ransomware (勒索軟體/綁架病毒)在過去幾個月來仍是個巨大的威脅,不斷的有新家族、新技術和新目標出現。趨勢科技最近發現到新勒索病毒家族Avaddon。
同時本文也會檢視了勒索病毒所用的技術及這波攻擊裡受到影響的產業。另外,也提供了關於偵測數量最多的勒索病毒家族、新勒索病毒家族及受影響最大的產業和市場區隔等最新數據。
名為 Avaddon的新勒索病毒(趨勢科技偵測為Ransom.Win32.AVADDON.YJAF-A)大量出現。趨勢科技偵測為Trojan.JS.AVADDON.YJAF-A的木馬程式,從惡意網站下載勒索病毒到系統上。在 TMMalAnalyst系列Twitter貼文 中有相關報告。
Avaddon勒索病毒經由夾帶IMG{6個隨機數字}.jpg.js.zip附件檔的電子郵件散播,附件檔內包含檔名為IMG{6個隨機數字}.jpg.js的JavaScript檔。
變臉詐騙集團正開始跳脫傳統的企業受害目標,轉而以宗教、教 育 和非營利 等機構為目標。此外,政府機關 也是歹徒經常攻擊的目標。
變臉詐騙嘗試攻擊最常鎖定的前五大目標職務當中也包括了教授和會計師。 不過執行長 (CEO) 更是絕大多數變臉詐騙假冒的對象。
變臉詐騙,包括:執行長詐騙、假發票詐騙、盜取帳號等等,都是一種仰賴社交工程技巧來促使受害機構 員工提供敏感資訊或將款項匯出的一種網路犯罪型態。根據美國聯邦調查局 (FBI) 網際網路犯罪申訴中心 (Internet Crime Complaint Center,簡稱 IC3) 指出,變臉詐騙已成為網路犯罪集團獲利最豐厚的一種犯罪形 態,光 2019 年,變臉詐騙集團就在全球詐騙了將近 18 億美元。
根據我們 2019 年所觀察到的趨勢顯示,變臉詐騙集團正開始跳脫傳統的企業受害目標,轉而以宗教、教 育和非營利等機構為目標。此外,政府機關 也是歹徒經常攻擊的目標。
2019年Android 惡意程式染指官方應用程式商店;行動網路間諜攻擊行動的數量持續攀升,這意味著駭客集團也開始將攻擊目標轉向行動裝置。
長久以來,Apple 的作業系統在安全性方面 一直有很高的評價,不過,不肖之徒仍非常積極地試圖 突破這些裝置的安全機制,並在 2019 年開發出各式各樣的相關威脅。 Shlayer 是 2019 年 macOS 惡意程式家族排行榜的第一 名,有超過 36,000 個非重複樣本,。
2019 年,行動裝置 (尤其是採用 Android 作業系統的行動裝置) 仍是歹徒不變的攻擊目標。儘管我們所攔截 的 Android 惡意應用程式數量從上半年至下半年持續減少,但 2019 一整年的總數還是相當可觀,將近 6 千 萬。這進一步突顯出網路犯罪集團仍相當仰賴攻擊行動裝置來竊取登入憑證、發送惡意廣告、從事網路間
諜活動等等。
或許是因為許多政府機關在受害之後都願意支付贖金,所以勒索病毒犯罪集團 2019 年才會更密集地攻擊政府單位。 另外,去年有超過 700 家醫療機構遭到勒索病毒攻擊
勒索病毒受害者不僅要應付資料被加密的問題,還要面對資料可能外洩的災難。會自動將受害者的檔案複製到該集團伺服器的「Maze」, 刻意從它們竊取到的 32 GB 資料中釋出 2 GB ,以駁斥媒體宣稱他們只不過偷了幾個檔案而已。
REvil 勒索病毒則經由已遭駭的第三方軟體發動總贖金高達 250 萬美元的聯合攻擊行動
美國聯邦調查局 (FBI) 對於是否該支付贖金,仍維持堅定的否定立場。該局的網路犯罪調查部門引述一個案例指出,受害者原本是希望能支付贖金來取得解密金鑰,沒想到收到的金鑰卻反而讓所有的資料被清得一 乾二淨。
2019 年,勒索病毒犯罪集團改懸易轍,開始針對特定的機構進行攻擊,試圖入侵其關鍵資產、系統和服務 來獲取龐大利潤。策略的轉變促使他們採取一些新奇的技巧來讓他們迅速在受害者的網路內流竄,盡可能散布更多惡意程式。過去一年當中一項值得注意的駭客技巧就是入侵一些鮮少遭到攻擊的企業資源,例如:網域控制器 (Domain Controller) 和 Active Directory 目錄服務,目的是為了造成企業更嚴重的營運中斷,進而迫使企業乖乖就範,讓他們予取予求。
雖然 2019 年網路釣魚活動的整體數量減少,但2019 年已攔截的 Office 365 非重複網路釣魚網址數量較前一年翻了一倍。
2019 年網路釣魚犯罪集團所使用的一些進階手法,使其越來越真假難辨 ,比如:
1. 登入憑證釣魚技巧
2.破解雙重認證機制的網路釣魚技巧
3.將網路釣魚連結插入搜尋結果當中
4.自訂「404 Not Found」 錯誤訊息頁面,發動網路釣魚攻擊
根據趨勢科技最新的「網路資安風險指標」(Cyber Risk Index) 研究指出,網路釣魚是企業 2019 年最大的威脅, 這項研究調查了美國境內上千家企業機構。儘管去年仍有不少網路釣魚詐騙,但我們偵測到的活動數量已較前一年減少。
2019 年已攔截的網路釣魚網址存取次數較 2018 年減少 28%,原本可能受到網路釣魚網站危 害的使用者數量也因而減少。此外,已攔截的非重複用戶端 IP 存取網路釣魚網址的次數也較前一年減少 38%。這類威脅偵測的數量之所以減少,或許還有一個因素是一些新型態訊息平台 (如 Slack) 的企業用戶日漸成長,而這些平台已取代了電子郵件。
雖然網路釣魚活動的整體數量減少,但假冒 Microsoft Office 365 (尤其是 Outlook) 的網址數量卻持續增加。2019 年已攔截的 Office 365 非重複網路釣魚網址數量較前一年翻了一倍。
Office 365 的普及率已使得其每月活躍使用者數量在 10 月份突破 2 億大關,這也是為何它一直成為網路犯罪集團覬覦的主要目標。Office 365 帳號對歹徒之所以有價值還有另一個原因,那就是用來散發垃圾郵件。網路犯罪集團看上的是 Microsoft 的電子郵件平台,包含 Hotmail、Live Mail 及 MSN Mail,因為
Microsoft 電子郵件服務的郵件地址較容易被列在白名單內,對資安軟體來說也比較難以阻擋。此外,網路犯罪集團只要駭入一個 Office 365 帳號,就能對企業機構內部進行網路釣魚攻擊,完全不必再偽造電子郵件地址,這樣的攻擊讓企業更難防範。
網路犯罪集團的技巧一直在不斷精進,其偽造的電子郵件越來越真假難辨,使得電子郵件與手機簡訊的 收件人更容易上當。這一點,從 2019 年網路釣魚犯罪集團所使用的一些進階手法就能看出端倪。
趨勢科技在 4 月份披露了一起採用一種最新登入憑證釣魚技巧的攻擊行動,歹徒使用的是 SingleFile 這個 Google Chrome 和 Mozilla Firefox 皆支援的網頁延伸功能元件。歹徒利用這個延伸功能元件來產生與原始登入網頁一模一樣的頁面讓使用者輸入登入憑證,進而加以竊取。
此外,我們也觀察到一種可破解雙重認證機制的網路釣魚技巧,它基本上是破解了一次性密碼 (OTP) 的 機制。2019 年,這個手法在日本相當流行,主要攻擊目標是網路銀行用戶。歹徒所發送的網路釣魚郵件或簡訊會將使用者帶往冒牌的網路銀行登入頁面。使用者一旦在該頁面上輸入自己的登入憑證,歹徒就將使用者的登入憑證拿到網路銀行真正的登入頁面同步登入使用者的網路帳戶。此時,網路銀行會產生一次 性的密碼來確認使用者的身分。當使用者收到一次性密碼之後,會將該密碼輸入假冒的登入畫面,此時歹徒就會得到密碼,並拿去輸入到真正的登入畫面當中,如此就成功駭入使用者的銀行帳戶。
網路犯罪集團也成功利用類似方法來攔截使用者的網頁搜尋,將網路釣魚連結插入搜尋結果當中。2019 年,歹徒利用遭到操作的 Google 的搜尋結果,讓受害者不小心誤入網路釣魚網頁。此方法要能得逞,歹 徒首先要重導網頁流量,將正牌網站的流量導向他們製作的網站,讓這些網站登上某些關鍵字在 Google 的 熱搜排行。接著,歹徒發送含有這類 Google 熱搜網站連結的電子郵件。當受害者點選這類 Google 熱搜排 行連結時,就會先連上歹徒架設的網站,然後再前往最後的網路釣魚網站。
另一個在去年值得關注的網路釣魚技巧是利用自訂的「404 Not Found」(網頁找不到) 錯誤訊息頁面來發動攻擊。歹徒並非單純地製作一個網路釣魚網站,然後將受害者導向這個網站,而是先註冊一個網域,然後設定一個自訂的 404 Not Found 錯誤訊息頁面,讓這個頁面假冒成登入畫面。有了這麼一個自訂的 404 Not Found 錯誤訊息頁面,歹徒就能將網路釣魚攻擊全都導向這個網域而沒有數量限制。
欲索取中文版完整報告,請至趨勢科技粉絲專頁,私訊小編,留言:我要索取2019年度資安報告
💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂
