勒索病毒 - 資安趨勢部落格

勒索病毒導致美國俄亥俄州巴爾的摩郡政府以及兩家醫療機構服務暫時中斷

2019 年 06 月 25 日2019 年 06 月 26 日趨勢科技 TrendMicro

最近發生了一波勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊造成美國俄亥俄州巴爾的摩 (Baltimore) 郡與印第安納州的公家機關與私人機構因忙著調查受害情況並復原系統而暫停對外服務。今年 5 月發生的這波勒索病毒攻擊使得巴爾的摩市政府和郡政府皆因為某些用戶的 2018 年自來水用量資料異常 (不是過低就是根本為零)，而無法將該年度自來水費與汙水下水道使用費帳單寄發給市民。

根據另一起報導指出，俄亥俄州的 NEO Urology 泌尿科醫院支付了約當 75,000 美元的比特幣(Bitcoin)給駭客以便救回被鎖定的電腦與被加密的資料。

繼續閱讀

GandCrab 勒索病毒鎖定攻擊 MySQL 資料庫

2019 年 06 月 05 日2019 年 06 月 04 日趨勢科技 TrendMicro

資安研究人員發現有大量突發的攻擊事件，鎖定執行 MySQL 資料庫的 Windows 伺服器，透過 GandCrab 勒索病毒 Ransomware (勒索軟體/綁架病毒)進行感染 (由趨勢科技偵測為 Ransom.Win32.GANDCRAB.SMILC)。這類攻擊最初是在去年 5 月 19 日透過誘捕系統 (honeypot) 發現，會掃描網際網路對向 (internet-facing) 的 MySQL 資料庫，並確認資料庫是否運行於 Windows 作業系統，然後執行惡意的 SQL 指令上傳檔案，擷取並協助執行勒索病毒。

發現這種入侵手法的資安研究員發現，這種掃描活動會搜尋不安全或設定不當的 MySQL 資料庫或防火牆，並可能攻擊任何暴露了連接埠 3306 的 MySQL 伺服器，這是 MySQL 預設使用的連接埠。

該攻擊行動涉及的 GandCrab 版本/樣本下載已經超過 2,300 次。雖然這樣的次數並不多，但攻擊仍造成重大的資安風險。MySQL 是相當普遍的資料庫技術，據報市佔率超過 50%。

[延伸閱讀：深層網路提供勒索軟體即服務?這對企業有何影響?]

GandCrab 本身使用不同的攻擊媒介，因為這項軟體最初是使用 Rig 及 GrandSoft 等漏洞攻擊套件。GandCrab 操作者在檔案分享網站使用惡意廣告，透過新開發的漏洞攻擊套件傳遞勒索軟體，例如 Fallout、JavaScript malware 及 spam attachments。透過種類廣泛的攻擊媒介，這種勒索軟體威脅逐漸猖獗 — GandCrab 在 2018 年是北美地區最常遭到偵測的勒索病毒系列。

繼續閱讀

Dharma勒索病毒利用防毒工具掩飾惡意活動

2019 年 05 月 24 日2019 年 05 月 21 日趨勢科技 TrendMicro

Dharma勒索病毒從2016年就開始出現，持續地攻擊了全世界的使用者和組織。在2018年11月的一次高調攻擊中，勒索病毒感染一家德州醫院並加密了許多病歷。幸運的是，醫院不用透過支付贖金就能夠回復正常。趨勢科技最近發現一隻新的Dharma勒索病毒使用了新的手法：利用軟體安裝作為幌子來掩飾其惡意活動。

Dharma勒索病毒利用防毒工具

新的Dharma勒索病毒仍是透過典型的垃圾郵件散播，誘騙使用者去下載檔案。如果使用者點入下載連結，會在取得檔案前被要求輸入郵件內所提供的密碼。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/05/Dharma-Ransomware-01.jpg

圖1. Dharma勒索病毒感染鏈

接著會下載一個自解壓縮檔 – Defender.exe，它會植入惡意檔案taskhost.exe以及舊版的ESET AV Remover安裝程式（被重新命名為Defender_nt32_enu.exe）。趨勢科技將taskhost.exe識別為Dharma勒索病毒相關檔案（偵測為RANSOM.WIN32.DHARMA.THDAAAI）

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/05/Dharma2-2.png

圖2. Dharma勒索病毒的垃圾郵件

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/05/Dharma-3-2.png

圖3. 執行自解壓縮檔（Defender.exe）

勒索病毒利用這個舊ESET AV Remover安裝程式來轉移使用者的注意力。當自解壓縮檔執行時，Dharma會在背景加密檔案，同時開始安裝ESET AV Remover。使用者會在螢幕上看到ESET畫面來掩飾Dharma的惡意活動。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/05/Dharma-4-2.jpg

圖4. 軟體安裝過程掩飾了勒索病毒活動

繼續閱讀

勒索病毒襲擊美政府辦公室，迫使氣象頻道斷線

2019 年 05 月 01 日2019 年 04 月 30 日趨勢科技 TrendMicro

勒索病毒Ransomware (勒索軟體/綁架病毒)似乎不再猖獗，也不像以往那樣主導整個威脅現況，但根據 LockerGoga 指出，有一間位在挪威的製造工廠遭勒索病毒入侵，造成的破壞性衝擊證明其仍是一項重大的威脅。事實上，勒索病毒仍持續發威中，最新的一連串攻擊在全美許多的郡和市政府都造成了傷害。

四月底美國氣象頻道（Weather Channel）遭到勒索軟體攻擊，導致其直播暫停了一個多小時。FBI發言人證實，這是一起勒索病毒攻擊案件。

繼續閱讀

透過 MDR ( 託管式偵測及回應服務)檢視Ryuk勒索病毒-專攻擊大企業勒索超過60萬美元

2019 年 04 月 25 日2019 年 03 月 25 日趨勢科技 TrendMicro

趨勢科技的偵測及回應託管式服務（managed detection and response,MDR）及事件回應團隊調查了兩起似乎是獨立事件的Ryuk勒索病毒攻擊。

勒索病毒 (勒索軟體/綁架病毒)儘管數量明顯地減少了，但仍持續使用多樣化的新技術持續造成威脅。一個明顯的例子是Ryuk勒索病毒（偵測為 Ransom_RYUK.THHBAAI），它在2018年12月造成美國幾家主流報紙運作中斷而惡名遠播。早先在2018年8月的Checkpoint分析指出，Ryuk專門被用在針對性攻擊，主要目標是受害者的重要資產。在12月攻擊事件前的幾個月，Ryuk攻擊了數間大企業來勒索價值超過60萬美元的比特幣。

趨勢科技的託管式偵測及回應（MDR）及事件回應團隊調查了兩起似乎是獨立事件的Ryuk攻擊。第一起經由以MikroTik路由器作為C&C伺服器的TrickBot營運商散播Ryuk，第二起則是攻擊者入侵管理員帳號來在網路內部散播Ryuk。加上2018年的事件，這些新攻擊可以看出惡意軟體背後黑手在擴大其範圍的強烈意圖。