勒索病毒 - 資安趨勢部落格

REvil 等勒索病毒集團與系統駭入集團結盟,專攻大型企業

2019 年 10 月 25 日2021 年 04 月 09 日趨勢科技 TrendMicro

「存取服務」(access-as-a-service)

根據一項最新報導指出，一些專門提供所謂「存取服務」(access-as-a-service) 系統駭入專家正與勒索病毒集團合作，使得更多受害者遭到入侵。這兩種網路犯罪集團的結盟，讓惡意程式能夠更快散布至更多高獲利的目標，其中絕大多數都是企業網路。勒索病毒主要是仰賴新的受害者來延續其壽命，而這些專門滲透企業系統的駭客集團正好滿足了這方面的需求，他們專門出租或銷售各大企業網路的存取權限來牟利。

資安機構 Advanced Intelligence (AdvIntel) 在一份報告當中點出了地下犯罪集團彼此之間的複雜關係，以及各種不同惡意程式集團之間如何互相合作。正如 AdvIntel 在報告中所詳述，勒索病毒集團會利用各種策略來散布惡意程式，而專精網路入侵的駭客，則隨時都在想辦法善用他們的技能來賺錢。因此，兩者的結合等於是互利。

AdvIntel 舉「-TMT-」犯罪集團為例，該團體專門提供各種機構的網路存取權限與系統管理帳號密碼。從這份報告可看出該集團的受害者相當廣泛：

一家在智利、玻利維亞和秘魯皆設有營業據點的拉丁美洲居家產品供應商。
一家台灣製造商。
一家哥倫比亞金融服務公司。
一家國際海運公司。
一個美國大學與教育機構的網路。
一家丹麥乳製品公司。
一家玻利維亞能源公司。

專門提供勒索病毒服務的知名犯罪集團 REvil,不單只靠提供勒索病毒賺錢，更有來自結盟夥伴的收入。

繼續閱讀

即使漏洞修補了兩年, WannaCry 仍是使用EternalBlue 漏洞攻擊手法中,偵測到最多的勒索病毒

2019 年 10 月 23 日2022 年 05 月 30 日趨勢科技 TrendMicro

即使在 EternalBlue(永恆之藍)漏洞已經修補了兩年多後，EternalBlue 仍舊非常活躍。即使到了 2019 年，WannaCry 還是所有使用 EternalBlue 攻擊手法的惡意程式當中偵測數量最多的。它的偵測數量幾乎是所有其他勒索病毒數量加總的四倍。

勒索病毒和挖礦程式的最愛: EternalBlue

2017 年，全球有史以來最嚴重的 WannaCry(想哭)勒索病毒勒索病毒爆發事件，其背後的動力就是 EternalBlue(永恆之藍) 漏洞攻擊手法。直到今天，儘管該手法所利用的漏洞早已修正，還是有很多惡意程式 (從勒索病毒HYPERLINK “https://blog.trendmicro.com.tw/?p=12412” Ransomware到常見的虛擬貨幣貨幣挖礦程式) 還在利用這項漏洞攻擊手法。

「WannaCry」對資安研究人員、企業、甚至是一般網路使用者都是一個耳熟能詳的名字，2017年該勒索病毒爆發的疫情在當時幾乎佔據了全球媒體版面，造成許多跨國企業花費數百萬、數千萬甚至上億美元的成本來進行修復和復原。兩年後的今天，企業依然經常遭到 WannaCry 襲擊。根據趨勢科技 Smart Protection Network™ 的資料，WannaCry 仍是 2019 年偵測數量最多的勒索病毒。事實上，WannaCry 的偵測數量甚至超越所有其他勒索病毒家族偵測數量的總合。

WannaCry 依然占了絕大部分的勒索病毒偵測數量：WannaCry 與所有其他勒索病毒家族偵測數量逐月比較 (2019 上半年)。

WannaCry 之所以能造成大量感染，其背後的動力就是 EternalBlue 漏洞攻擊手法 (Microsoft 早在 MS17-010 資安公告當中即修補了該漏洞)，該手法是由 ShadowBrokers 網路犯罪集團流傳到網路上，但根據許多報導指出，該手法是竊取自美國國安全局 (NSA)。EternalBlue 實際上利用了 CVE-2017-0143 至 CVE-2017-0148 等多項漏洞，這些都是 Microsoft 某些 Windows 版本所使用的 SMBv1 伺服器通訊協定的漏洞。這些漏洞可讓駭客經由發送特製的訊息給受害系統上的 SMBv1 伺服器來觸發，並且可執行任意程式碼。由於 Microsoft SMB 漏洞所影響的產業極廣，從醫療設備到辦公室印表機、儲存裝置等等，因此網路犯罪集團很快就看上 EternalBlue 的價值。再加上許多企業在修補管理方面皆力有未逮，因此還有很多存在著漏洞的系統，所以 EternalBlue 才會至今仍受到歹徒喜愛。

繼續閱讀

Nemty勒索病毒可能透過暴露的遠端桌面連線散播

2019 年 09 月 05 日2019 年 09 月 06 日趨勢科技 TrendMicro

最近出現了一個新的勒索病毒 Ransomware 家族，會使用副檔名 – Nemty進行加密。根據Bleeping Computer的一份報告，位在紐約的逆向工程師Vitali Kremez認為Nemty可能是通過暴露的遠端桌面連線散播。

雖然利用RDP來派送勒索病毒並非新鮮事，但跟網路釣魚技術比起來，這顯然是種更加危險的散播方法。一旦網路犯罪分子取得了較高的系統權限，就能夠自由進入系統，在使用者不知情下發動攻擊，就如同之前的SAMSAM勒索病毒一樣。

在2017年，惡意份子散播 Crysis勒索病毒到澳洲及紐西蘭中小企業及大型組織所用的方式就是RDP暴力破解攻擊。這類威脅不僅只是影響企業；趨勢科技監測技術從2018年開始就在家用電腦及個人裝置上偵測到超過 3,500萬次的暴力破解攻擊 – 其中有 85%是針對RDP。

繼續閱讀

專門攻擊 QNAP 網路儲存裝置的 eCh0raix 勒索病毒

2019 年 07 月 17 日2019 年 07 月 16 日趨勢科技 TrendMicro

最近出現了一個專門攻擊 QNAP 品牌網路儲存 (NAS) 裝置的勒索病毒/勒索軟體 (家族。這個由威脅情報平台供應商 Anomali 的資安研究人員命名為「eCh0raix」的勒索病毒 (趨勢科技命名為 Ransom.Linux.ECHORAIX.A)，據報是專為針對性攻擊而設計的勒索病毒，與之前的 Ryuk 或 LockerGoga 的用途相似。

NAS 裝置是一種專門用來儲存、備份、分享檔案的連網裝置，可作為資料的集散中心，方便所有使用者存取資料。對許多企業機構來說，這是一種低成本、可擴充的儲存解決方案。據統計，約有 80% 的企業機構皆使用這類裝置。

[延伸閱讀：Narrowed Sights, Bigger Payoffs: Ransomware in 2019]

eCh0raix 分析

eCh0raix 勒索病毒是採用 Go/Golang 程式語言所撰寫，這是一種逐漸被用於開發惡意程式的語言。eCh0raix 會藉由語言地區檢查來判斷 NAS 裝置的所在位置，如果位於獨立國協 (CIS) 的某些國家境內，如：白俄羅斯、烏克蘭和俄羅斯，eCh0raix 就會終止執行。eCh0raix 可加密的檔案包括：文件、文字檔、PDF、壓縮檔、資料庫、多媒體檔案等等。

繼續閱讀

2019 下半年勒索病毒將如何發展？

2019 年 07 月 15 日2019 年 07 月 11 日趨勢科技 TrendMicro

勒索病毒 Ransomware (勒索軟體/綁架病毒)已成為一種時時刻刻都在演變的惡意程式家族，多年來已出現過多次轉型：從最早的假防毒軟體( Fake AV)，到後來的警察勒索程式，再到今日常見的加密勒索病毒，這項威脅至今仍無消退的跡象。就最近的趨勢來看，趨勢科技預料這項威脅在今年下半年仍將不斷擴張。