勒索病毒 - 資安趨勢部落格

上膛的武器落入壞人手中：合法工具變成勒索病毒的超級武器

2021 年 06 月 02 日2021 年 05 月 25 日趨勢科技 TrendMicro

這些工具原本是為了資安研究和其他正當用途而開發。但網路犯罪集團卻找到了方法將它們用於勒索病毒攻擊。到底有哪些工具以及它們如何變成武器的呢？

隨著勒索病毒 Ransomware (勒索軟體/綁架病毒)集團不斷擴充軍備，一些潛在的受害企業正面臨越來越高的風險，一旦遭到攻擊就可能帶來嚴重後果。當企業遭到勒索病毒攻擊，除了動輒損失數百萬美元之外，還會造成電腦系統無法使用，甚至導致機敏資料外洩。

近期的勒索病毒攻擊絕大多數都使用雙重勒索手法，一方面將企業的檔案加密，另一方面威脅要將這些資料公開。根據我們的資安預測報告指出，照這樣下去，勒索病毒威脅在 2021 年將更加惡化，因為它們將更具針對性，且會出現更多新的家族 (如 Egregor)。今年，網路犯罪集團將持續利用合法工具來輔助他們發動勒索病毒攻擊。

這些工具本身並非惡意程式，它們大多是為了協助資安研究人員或提高程式效率而開發。但就像許多其他技術一樣，網路犯罪集團就是有辦法找到不法用途，使它們最後成了勒索病毒攻擊、甚至是其他網路攻擊常見的幫兇。英國國家網路安全中心 (National Cyber Security Centre，簡稱 NCSC) 也在一份報告中列舉了這些工具。

網路犯罪集團之所以會在勒索病毒攻擊當中使用這些合法工具的原因有許多，其中之一就是因為這些工具原本就不是惡意程式，因此容易避開資安軟體的偵測。其次，它們大多屬於開放原始碼工具，因此一般大眾都能免費取得與使用。最後，這些工具的強大功能讓資安研究人員很方便，但對犯罪集團來說又何嘗不是，所以也因此讓這些工具成了雙面刃。

本文探討幾個經常遭歹徒利用的合法工具：Cobalt Strike、PsExec、Mimikatz、Process Hacker、AdFind 與 MegaSync。

繼續閱讀

勒索病毒為何愈來愈難纏?「以合法掩護非法」!

2021 年 05 月 31 日2021 年 05 月 26 日趨勢科技 TrendMicro

如何阻止利用合法工具的勒索病毒集團?

網路駭客與資安團隊間貓捉老鼠的遊戲隨著最新勒索病毒的發展而持續下去。

在今日，世界各產業都在積極地部署先進的防禦技術，這也讓駭客不得不轉變攻擊手法。新的攻擊更加具有針對性和隱蔽性，讓現今的勒索病毒 Ransomware (勒索軟體/綁架病毒)比過去任何時候都更難以被發現和阻止。

Trend Micro Vision One™ 協助客戶解決了此問題，它能夠關聯整個環境內的可疑活動，在勒索病毒植入前先識別並阻止攻擊者在網路內進行橫向移動。

一大轉變: 勒索病毒利用合法工具隱匿行跡

今日的勒索病毒會利用合法工具來隱匿其在受害者網路內的活動。這些工具本身並非惡意軟體。它們的功用其實是為了幫助資安團隊，但駭客已經發現如何濫用它們的方法。

這些工具對駭客來說很有吸引力，原因如下：

🔴 可能不會被偵測為惡意
🔴開放原始碼而容易取得
🔴這些工具對資安團隊帶來的好處對駭客來說一樣有用

繼續閱讀

美國最大燃油工業業者Colonial Pipeline 勒索病毒攻擊事件只是開端，如何避免新一波攻擊?

2021 年 05 月 27 日2021 年 05 月 26 日趨勢科技 TrendMicro

勒索病毒在過去這段時間出現了許多變化，希望這篇文章能有助企業防範這波日益升高的攻擊趨勢。

支付1.23 億贖金卻換到不中用解密工具的美國最大燃油管道系統Colonial Pipeline 勒索病毒攻擊事件，只是歹徒正在醞釀的新一波勒索病毒攻擊開端，他們的目標是一些高價值企業。為何會出現這樣的趨勢？

勒索病毒集團的目標其實就是勒索贖金，因此他們會攻擊一些較容易因害怕營運中斷而支付贖金的企業機構。過去，我們看到歹徒會攻擊政府單位和教育機構，歹徒能造成的傷害越大，收到贖金的機率也就越高。

今日的勒索病毒攻擊已經過好幾個階段的演進，我們現在正處於勒索病毒攻擊發展的第四階段。以下摘要說明勒索病毒發展的四個階段：

🔴第 1 階段：單純只有勒索病毒。將檔案加密，留下一封勒索訊息，然後等著收錢 (比特幣)。

🔴第 2 階段：雙重勒索。第 1 階段 + 將資料外傳然後威脅公開資料。Maze 是第一個採用此手法的已知案例，隨後其他犯罪集團也立即跟進。

🔴第 3 階段：三重勒索。第 1 階段 + 第 2 階段，然後再搭配 DDoS 攻擊威脅。Avaddon 是第一個採用此手法的已知案例。

繼續閱讀

DarkSide 勒索病毒與美國輸油管攻擊事件(更新)

2021 年 05 月 21 日2021 年 05 月 20 日趨勢科技 TrendMicro

趨勢科技 Trend Micro Research 在網路上蒐集了數十個 DarkSide 勒索病毒樣本，並研究了該勒索病毒集團的運作方式以及它所瞄準的目標。

本文已更新，增加了不少有關 DarkSide 受害者的參考資料。

5 月 7 日，一起勒索病毒攻擊造成負責美國東岸近半數油管運輸的 Colonial Pipeline 公司主動關閉營業，使得汽油、柴油、家用暖氣用油、噴射機用油、軍用油品全部受到嚴重衝擊。美國聯邦機動運輸安全管理局 (Federal Motor Carrier Safety Administration，簡稱 FMCSA) 在全美 18 州發布緊急狀態來緩解油品供應中斷的問題。

自駭客攻擊造成 Colonial Pipeline 營運關閉以來已經過了五天，該公司依舊沒辦法完全恢復營運。油品供應中斷已經開始影響車輛運輸，在亞特蘭大 (Atlanta) 都會區，30% 的加油站都無油可賣，其他城市回報的數據也大致如此。為了維持民生必要油品的供應無虞，政府已發布囤積禁令。

美國聯邦調查局 (FBI) 確認此次攻擊的幕後元凶是來自東歐的 DarkSide 駭客集團，該集團所用的勒索病毒是一個相對較新的家族，首次在 2020 年 8 月現身，但該集團之前就曾經在一些網路犯罪行動當中得逞，因此累積了不少經驗。

除了將 Colonial Pipeline 的電腦系統鎖死之外， DarkSide 還竊取了超過 100 GB 的企業資料。這個竊取資料的動作反而更有殺傷力，該集團向來慣用雙重勒索的伎倆，不但會要求受害者支付贖金來解鎖電腦，還會竊取企業的資料並趁機敲詐一筆。我們後面會提到，事實上 DarkSide 在網路犯罪集團之間算是相當具有創新能力，率先開發出所謂的「四重勒索服務」。

該集團在 5 月 12 日又公布了三家受害企業：一家位於蘇格蘭的建設公司、一家巴西再生能源產品經銷商公司，以及一家美國科技服務經銷商。DarkSide 集團宣稱總共從這三家公司竊取了 1.9 GB 的資料，包括：用戶資料、財務資料、員工護照、合約等機敏資訊。

由於 DarkSide 採用 RaaS 勒索病毒服務 (Ransomware-as-a-service) 的經營模式，所以這三起攻擊背後很可能是三個不同的駭客團體所為。就連 DarkSide 集團自己也承認他們只是購買了這些公司的網路存取權限，他們不曉得這些存取權限當初是如何取得。

繼續閱讀

Darkside 勒索病毒與美國輸油管攻擊事件

2021 年 05 月 15 日2021 年 05 月 14 日趨勢科技 TrendMicro

5 月 7 日，一起勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊造成負責美國東岸近半數油管運輸的 Colonial Pipeline 公司主動關閉營業，使得汽油、柴油、家用暖氣用油、噴射機用油、軍用油品全部受到嚴重衝擊。美國聯邦機動運輸安全管理局 (Federal Motor Carrier Safety Administration，簡稱 FMCSA) 在全美 18 州發布緊急狀態來緩解油品供應中斷的問題。自駭客攻擊造成 Colonial 營運關閉以來已經過了五天，該公司依舊沒辦法完全恢復營運。

油品供應中斷已經開始影響車輛運輸，在亞特蘭大 (Atlanta) 都會區， 30% 的加油站都無油可賣，其他城市回報的數據也大致如此。為了維持民生必要油品的供應無虞，政府已發布囤積禁令。

美國聯邦調查局 (FBI) 確認此次攻擊的幕後元凶是 Darkside 駭客集團。Darkside 是一個相對較新的勒索病毒家族，首次在 2020 年 8 月現身，但該集團之前就曾經在一些網路犯罪行動當中得逞，因此累積了不少經驗。根據彭博社 (Bloomberg) 的新聞指出，駭客集團除了將 Colonial 公司的電腦系統鎖死之外，還竊取了超過 100GB 的企業資料。這個駭客集團向來慣用這種雙重勒索伎倆，不但會要求受害者支付贖金來解鎖電腦，還會竊取企業的資料並趁機敲詐一筆，如果受害者不乖乖付錢，他們就會公開偷來的資料。我們後面會提到，事實上 Darkside 在網路犯罪集團之間算是相當具有創新能力，率先開發出所謂的「四重勒索服務」。

Trend Micro Research 在網路上蒐集了數十個 Darkside 勒索病毒樣本，並研究了該勒索病毒的運作方式以及它所瞄準的目標。