趨勢科技一直在持續追蹤現代化勒索病毒 以及一些舊式勒索病毒家族的動向,以了解何種攻擊正在流行,以及哪些家族對企業和一般使用者最為危險。
2021 上半年,我們看到現代化勒索病毒威脅仍非常活躍且不斷演進,並利用雙重勒索的手法來攻擊受害目標。今日的犯罪集團會採用有別於傳統勒索病毒的手法,善用他們從受害電腦上偷到的私密資料來加強勒索的力道,威脅受害者如果一直不付贖金的話,就要將資訊公開到資料外洩網站。接著在下半年,我們仍一直持續追蹤這些威脅以及一些舊式勒索病毒家族的動向,以了解何種攻擊正在流行,以及哪些家族對企業和一般使用者最為危險。
2021 年,趨勢科技偵測到的勒索病毒威脅數量 (包含所有勒索病毒類型) 自從在 6、7 兩月稍微減少之後,到了 8 月份又開始上揚。在研究了這些勒索病毒威脅的攻擊目標之後,我發現受害最嚴重的大多是企業機構,其次是一般消費者。
青少年犯罪動機為何?本文整理了 1997 年起的青少年網路犯罪語錄,一窺背後的動機。
2020年7月包括美國前總統歐巴馬(Barack Obama)、特斯拉執行長馬斯克(Elon Musk)和微軟創辦人比爾蓋茲(Bill Gates)、投資家華倫巴菲特(Warren Buffett)、亞馬遜 CEO貝佐斯(Jeff Bezos)等大批政商名人,突然在 Twitter 上發出「如果你發 1,000 美元,我就還你 2,000 美元,限時 30 分鐘。」貼文,原來是集體遭到駭客入侵。
有辦法駭入全世界最有影響力的帳號,卻只用來從事比特幣詐騙?答案揭曉背後的操控者並不是什麼神秘的駭客軍團,而只是三名青少年,最年輕的只有17歲!
2018年的 DEFCON 大會上,開放讓數千名世界各地的年輕小駭客們,攻擊美國各個選舉網站的複製品,結果相當驚人,有位 11 歲的小駭客僅花了 10 分鐘就成功竄改了選舉結果。
2018年 8 月澳洲一名年輕駭客,被指多次入侵科技企業龍頭、蘋果公司的內部網路,並下載內部資料,為期超過一年。蘋果發現網路遭入侵後,知會美國聯邦調查局(FBI),FBI再與AFP合作追捕駭客,最後鎖定該名少年,並沒收他的兩台筆電、一台電話,以及一顆硬碟。蘋果公司發電郵表示,內部網路遭未授權者取得,已通報執法單位處理。AFP則拒絕評論此事件。據了解,該少年當庭認錯,並聲稱自己是蘋果的粉絲,希望未來有天能進入蘋果公司工作。
2015年英國有一名年僅15歲駭客 Kane Gamble,假冒受害人欺騙電信公司,騙取時任美國聯邦調查局(FBI)副局長朱利安諾(Mark Giuliano)、美國國土安全部部長、美國中央情報局(CIA)局長等其他官員的帳號,導致許多美國國安機密資料外洩,其中還包括阿富汗戰爭的高級機密檔案。。
Kane Gamble 2017年被判罪,2018 年四月在倫敦刑事法庭被判在少年拘留所監禁兩年,法官稱他的舉動屬於「網路恐攻」。
「老爸請回神多關心家人,不要只沉迷線上遊戲」2017年高雄市1名高二生不滿父親沉迷手遊、線上遊戲,一怒之下以 10 美金上網購買殭屍病毒「 懶人包 」,對遊戲公司發動殭屍病毒攻擊,讓玩家無法連線而下線棄玩,遊戲公司損失台幣近百萬元。犯案高中生並寄恐嚇信勒索0.0163比特幣(約10美元),犯案高中生說他只是想拿回付給殭屍網站的10元美金(約新台弊300多元),並希望父親回神多關心家人,不要只沉迷線上遊戲。
新的 Paradise 勒索病毒正利用 Internet Query Files (IQY) 檔案來散布,該勒索病毒家族過去從未用過這類檔案。
以往通常只有其他惡意程式會利用 IQY 檔案發動攻擊,如 Necurs 殭屍網路就是利用 IQY 檔案來散播 FlawedAmmy 遠端存取工具 (RAT)。此外,Bebloh 和 Ursnif 也會藉由 IQY 和 PowerShell 來散布。
[延伸閱讀:Same Old yet Brand-new:New File Types Emerge in Malware Spam Attachments]
IQY 是 Microsoft Excel 所使用的一種檔案,這種檔案內含有一些網址和其他向網際網路查詢所需的內容。根據 Last Line 研究人員表示,IQY 或許不像 Microsoft Office 其他檔案格式那麼廣為人知,但同樣也可能變成歹徒的武器。此次的攻擊並非利用 Microsoft Excel 的任何漏洞,因此就算是平常都按部就班修補的系統還是有受害的風險。
繼續閱讀最近出現了一個專門攻擊 QNAP 品牌網路儲存 (NAS) 裝置的勒索病毒/勒索軟體 (家族。這個由威脅情報平台供應商 Anomali 的資安研究人員命名為「eCh0raix」的勒索病毒 (趨勢科技命名為 Ransom.Linux.ECHORAIX.A),據報是專為針對性攻擊而設計的勒索病毒,與之前的 Ryuk 或 LockerGoga 的用途相似。
NAS 裝置是一種專門用來儲存、備份、分享檔案的連網裝置,可作為資料的集散中心,方便所有使用者存取資料。對許多企業機構來說,這是一種低成本、可擴充的儲存解決方案。據統計,約有 80% 的企業機構皆使用這類裝置。
[延伸閱讀:Narrowed Sights, Bigger Payoffs: Ransomware in 2019]
eCh0raix 勒索病毒是採用 Go/Golang 程式語言所撰寫,這是一種逐漸 被用於開發惡意程式的語言。eCh0raix 會藉由語言地區檢查來判斷 NAS 裝置的所在位置,如果位於獨立國協 (CIS) 的某些國家境內,如:白俄羅斯、烏克蘭和俄羅斯,eCh0raix 就會終止執行。eCh0raix 可加密的檔案包括:文件、文字檔、PDF、壓縮檔、資料庫、多媒體檔案等等。
繼續閱讀Dharma勒索病毒從2016年就開始出現,持續地攻擊了全世界的使用者和組織。在2018年11月的一次高調攻擊中,勒索病毒感染一家德州醫院並加密了許多病歷。幸運的是,醫院不用透過支付贖金就能夠回復正常。趨勢科技最近發現一隻新的Dharma勒索病毒使用了新的手法:利用軟體安裝作為幌子來掩飾其惡意活動。
Dharma勒索病毒利用防毒工具
新的Dharma勒索病毒仍是透過典型的垃圾郵件散播,誘騙使用者去下載檔案。如果使用者點入下載連結,會在取得檔案前被要求輸入郵件內所提供的密碼。
圖1. Dharma勒索病毒感染鏈
接著會下載一個自解壓縮檔 – Defender.exe,它會植入惡意檔案taskhost.exe以及舊版的ESET AV Remover安裝程式(被重新命名為Defender_nt32_enu.exe)。趨勢科技將taskhost.exe識別為Dharma勒索病毒相關檔案(偵測為RANSOM.WIN32.DHARMA.THDAAAI)
圖2. Dharma勒索病毒的垃圾郵件
圖3. 執行自解壓縮檔(Defender.exe)
勒索病毒利用這個舊ESET AV Remover安裝程式來轉移使用者的注意力。當自解壓縮檔執行時,Dharma會在背景加密檔案,同時開始安裝ESET AV Remover。使用者會在螢幕上看到ESET畫面來掩飾Dharma的惡意活動。
圖4. 軟體安裝過程掩飾了勒索病毒活動
繼續閱讀