最近趨勢科技發現了一個 Negasteal 惡意程式 (亦稱 Agent Tesla) 的變種,會經由 hastebin 以無檔案病毒(fileless malware)方式散布 Crysis 勒索病毒 (亦稱為 Dharma)。這是我們首次發現 Negasteal 會散布勒索病毒。
就在幾個月前,Deep Instinct 披露了第一個使用 hastebin.com 來散布惡意內容的 Negasteal 變種。Negasteal 是 2014 年被發現的間諜程式,採用付費訂閱方式在網路犯罪地下論壇提供服務,其幕後集團隨時都在精進其躲避技巧以維持市場地位。
Crysis 則是一個涉及多起知名攻擊的勒索病毒,一直在不斷推出新的變種以及各種不同技巧。Crysis 也跟 Negasteal 類似,採用付費服務的方式來經營,提供所謂的勒索病毒服務 (RaaS) 供其他犯罪集團使用。
這是趨勢科技第一次看到這兩個惡意程式服務結合在一起。根據我們蒐集到樣本顯示,此變種是經由網路釣魚郵件散布,如圖 1 所示:
2020 年,勒索病毒 Ransomware (勒索軟體/綁架病毒)威脅對製造業造成了極大的衝擊,而且今年第 3 季出現了一股令人憂心的趨勢,那就是勒索病毒集團似乎專挑製造業下手。
根據趨勢科技 Smart Protection Network™ 的資料顯示,勒索病毒集團的衝擊遍布各種產業。
製造業生產線的廠房到處都是大型機具:組裝設備、熔爐、馬達等等。而隨著科技不斷進步,再加上工業 4.0 的潮流,生產線與營運系統開始導入了電腦設備。從此,這些大型工業機具便透過電腦來操作及監控,然後這些電腦還會與網路及其他電腦連接並互相傳遞資料。
繼續閱讀網路犯罪分子最近集中火力在對零售業發動勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊,如果企業在這重要的購物季節被打亂了運作,可能會帶來災難性的後果。
網路犯罪分子最近集中火力在對零售業發動勒索病毒攻擊,如果企業在這重要的購物季節被打亂了運作,可能會帶來災難性的後果。
從短期來看,零售業遭遇勒索病毒攻擊代表成千上萬銷售機會的損失。黑色星期五、網路星期一和聖誕節一向是零售業一年中最忙碌的時間。因為有著眾多的選擇,消費者並不缺少買東西的地方。如果業者無法提供滿意的服務,那麼消費者就會轉向其他地方購買。
而更大的損害可能是在商譽方面。POS交易失敗、貨物送達時間過長及”不安全”的印象可能會讓客戶轉向能夠提供更好、更安全購物體驗的競爭對手。
Egregor是一種複雜的勒索病毒,在2020年9月首次出現,接著參與許多知名的攻擊,目標包括了大型零售業者及其他組織。
2020 年底智利最大零售集團 Cencosud 遭到 Egregor 勒索,收銀機檔案被加密後,還不斷印出勒索訊息。(如下圖)
El #ransomware que le pegó a Cencosud es #Egregor. La ransom note empezó a salir en las impresoras de varios locales de Argentina y Chile pic.twitter.com/k1Ps4IDUyq
— Irlenys (@Irlenys) November 15, 2020
從趨勢科技Smart Protection Network提供的資料可以看出有許多勒索病毒被用來攻擊零售業者。Sekhmet是隻相對較新的勒索病毒,具備更強的反混淆能力,在我們的資料中是偵測數第二多的勒索病毒。儘管對Sekhmet所知不多,但據報它已經成功感染了數家組織。這隻勒索病毒特別令人震驚的是,除了會加密檔案,攻擊者還威脅要公開被竊數據 – 對未支付贖金要求的受害者造成雙重打擊。對零售業者來說,這意味著它可能會洩漏客戶資料,進一步損害商譽,甚至造成法律後果。
某些Sekhmet變種是以勒索病毒即服務(RaaS)的形式提供,這代表了不僅是作者會使用它,所以可能在未來出現更多該勒索病毒及變種的攻擊。
繼續閱讀有別於其他勒索病毒集團「亂槍打鳥」的方式,Ryuk 勒索病毒集團會鎖定特定目標,並索取較高的贖金。由於 Ryuk 犯罪集團的目標通常是一些 極為敏感的資訊,並且專門鎖定金融和國防之類的產業,因此受害機構通常會在不得已的情況下支付一筆巨額贖金。
隨著資安情勢的發展,今日的威脅經常會同時衝擊企業營運基礎架構的多重層面。為了偵測及回應像這樣的攻擊,企業通常會採用各種專為個別層面而非整體系統而設計的資安工具。
有些企業會導入資安事件管理 (SIEM) 平台來協助他們彙整每天遭遇到的各種威脅。這樣的作法雖然有效,但 SIEM 系統的價格和營運成本卻很高。此外,企業還得靠資安營運中心 (SOC) 來過濾大量的資料以進行交叉關聯分析。至於一些其他的資安解決方案,雖然各個都具備強大的偵測及回應能力,但卻缺乏完整的監測資料來看到威脅的全貌。
為了讓大家了解今日 SOC 所面臨的威脅,以及他們需要什麼樣的資安解決方案好應付這類威脅,以下此提供一個真實案例來說明。
繼續閱讀過去幾週,趨勢科技發現勒索病毒出現最新發展。首先是一個新的勒索病毒家族 (黑暗面-Darkside) 之外,Crysis/Dharma 勒索病毒集團也釋出了一個駭客工具套件。
另外,在訊息威脅部分,我們發現了一波專門散布 Negasteal/Agent Tesla 惡意程式的針對性電子郵件攻擊。
一個名叫「Darkside(黑暗面)」的新勒索病毒家族 (趨勢科技命名為:Ransom.Win32.DARKSIDE.YXAH-THA) 最近浮上檯面。此勒索病毒會要脅受害者若不支付贖金,將公布受害者的資料,此手法與之前的 Maze 和 Nefilim 勒索病毒類似。被加密的檔案,其副檔名會被加上受害者電腦的網路卡 (MAC) 位址。
根據勒索病毒的 Tor 網頁,其幕後犯罪集團其實會評估目標企業的財力,然後再決定要勒贖的金額。除此之外,駭客似乎不會攻擊醫療、教育、非營利及政府等機構。
Crysis/Dharma 勒索病毒 (趨勢科技命名為 Ransom.Win32.CRYSIS.TIBGGS) 最近釋出了一個名為「Toolbox」的駭客工具套件。 Toolbox 當中包含了專門用來搜刮密碼的 Mimikatz、專門用來竊取遠端桌面協定 (RDP) 密碼的 NirSoft Remote Desktop PassView、專門用來竊取雜湊碼的 Hash Suite Tools Free,以及其他用來搜尋攻擊目標電腦並植入勒索病毒的工具。有了這個套件,就連菜鳥駭客也能輕鬆滲透網路。
由於 Crysis 採用的是勒索病毒服務 (RaaS) 的經營模式,因此這套工具有助於讓它散播得更廣。
延伸閱讀:” 只要 39 美元便提供「終身授權」” —深層網路上的勒索病毒服務(RaaS),對企業的意義為何?
我們最近發現了一波電子郵件攻擊專門經由惡意附件散布 Negasteal/Agent Tesla 惡意程式 (趨勢科技命名為 TrojanSpy.MSIL.NEGASTEAL.DYSGXT),此波攻擊的對象是泰國一家國有銀行 Krung Thai Bank (泰京銀行) 的客戶。電子郵件內容是有關「對外匯款交易」的收據,匯款金額將近 9,000 美元,郵件內容會請使用者下載並參閱附件檔案。附件檔案是一份會攻擊 Microsoft Office CVE-2017-11882 漏洞的文件 (這是一個已經有 17 年歷史的 Microsoft Office 記憶體內容損毀漏洞),一旦攻擊成功,就可以下載惡意檔案到受害電腦上執行。
首次發現於 2014 年的 Negasteal 一直以來都會經由網站控制台、FTP 或 SMTP 傳送竊取的資料。最近,我們發現它會經由可卸除式裝置流傳,因為它會竊取 Becky!Internet Mail 的登入憑證。
Darkside 勒索病毒
| SHA-256 | 趨勢科技病毒碼偵測名稱 |
| 9cee5522a7ca2bfca7cd3d9daba23e9a30deb6205f56c12045839075f7627297 | Ransom.Win32.DARKSIDE.YXAH-THA |
網址
Crysis/Dharma 勒索病毒
| SHA-256 | 檔案名稱 | 趨勢科技病毒碼偵測名稱 |
| 1cec5e4563e2c1570353e54a4ecc12ab4d896ab7227fd8651adcd56b884c0c1c | GdAgentSrv.de.dll | HackTool.Win64.CVE20160099.A |
| 28042dd4a92a0033b8f1d419b9e989c5b8e32d1d2d881f5c8251d58ce35b9063 | process-hacker-2-39.exe | PUA.Win32.ProcHack.A |
| 3680b9e492f49abc108313c62ceb0f009d5ed232c874cae8828c99ebf201e075 | takeaway.exe | Ransom.Win32.CRYSIS.TIBGGS |
| 47dc3672971c242154a36622145de7060f17f56af75d21e2130e4f57089f5e48 | takeaway.exe | Ransom.Win32.CRYSIS.TIBGGS |
| 75d9d85b152e030eb73d17c691203b49bf593ea6a4bddeae48ca255b22c2d36d | takeaway_ps1 | Trojan.PS1.CRYSIS.AA |
| 77cbab006cf6a801dbd1c752659bddf28562fb8681d20305dd1dc0b1e105c67a | takeaway.exe | Ransom.Win32.CRYSIS.TIBGGS |
| 78983ad10fe05fadccb201dd3e8c7f952e93332433a42e3d331531c5497d1330 | winhost.exe | Ransom.Win32.CRYSIS.TIBGGQ |
| b0b8fd4f6ab383014ea225c2b7776735af059f526cd7c4fdbdcb2e99d074ade7 | takeaway.exe | Ransom.Win32.CRYSIS.TIBGGS |
| b2d2f4ecbc680d590743044744b3ff33c38e4aeb0ada990b0ae7be8291368155 | takeaway.exe | Ransom.Win32.CRYSIS.TIBGGS |
| b5a69f7c4a3681a753f3512e3b36ac06c6ddbb1129a3e87f8c722ff4f9834f0a | purgeMemory.ps1 | Trojan.PS1.KILLSVC.Ahacktool |
| edef024abe48d6ed7b4757d63a8fd448a8ecf1ad15afd39cc97c97b27ed4498e | takeaway.exe | Ransom.Win32.CRYSIS.TIBGGS |
| ef5f2ce1a4d68d656400906ae906b0c7e7f61017f14840a7ac145d59ee69a4bd | takeaway.exe | Ransom.Win32.CRYSIS.TIBGGS |
| f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446 | NS2.ex | HackTool.Win32.NetTool.A |
Negasteal/Agent Tesla
| SHA-256 | 趨勢科技病毒碼偵測名稱 |
| 58e74875b3659fa34aa1ecefba1a43cc049b7bb1c83de5a26ec8045c60f1099e | Trojan.W97M.CVE201711882.YQUOOUM |
| 6991150c06b278712b052377ef768ca80923ff9c3396e7de18fa0fbce7211c96 | TrojanSpy.MSIL.NEGASTEAL.DYSGXT |
原文出處:Threat Recap:Darkside, Crysis, Negasteal, Coinminer 分析師:Miguel Ang、Raphael Centeno、Don Ovid Ladores、Nikko Tamaña 與 Llallum Victoria
💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂
