企業資安 - 資安趨勢部落格

資安警訊:Magniber勒索病毒,偽裝 Windows 10 系統更新程式

2022 年 07 月 29 日2022 年 08 月 31 日趨勢科技 TrendMicro

趨勢科技近日觀察發現，名為Ｍagniber的勒索病毒，偽裝成Windows 10的系統更新程式，將惡意程式包裝成Ｗindows Installer MSI檔案，以降低受害者的戒心。因此，趨勢科技特別提醒用戶應提高警覺。

攻擊手法：

此類攻擊手法主要透過以下幾個步驟：

繼續閱讀

趨勢科技穩坐雲端工作負載防護市場龍頭

2022 年 07 月 28 日2022 年 07 月 28 日趨勢科技 TrendMicro

IDC 報告指出趨勢科技市場占有率為第二大供應商近三倍

【2022 年 7 月 28 日台北訊】全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 今日宣布根據 IDC 最新的雲端工作負載防護市場占有率報告^註一，該公司在全球快速成長的雲端防護市場持續維持領先地位。

欲閱讀完整 IDC 獨立市場分析報告，請至：https://www.trendmicro.com/explore/idc-cloud-workload-security

繼續閱讀

資安長(CISO)如何在 15 分鐘內,向董事會說明雲端風險?

2022 年 07 月 19 日2022 年 12 月 21 日趨勢科技 TrendMicro

趨勢科技資安研究員 Erin Sindelar 詳細解釋三種常見的雲端風險評估方式來協助資安長與資安領導人向董事會說明雲端資安風險。

資安風險的質化與量化一直是資安長 (CISO) 的一項挑戰。當您的基礎架構就在企業內部，而且您知道自己有什麼資產，並且知道資料都存放在哪裡時，這件事就已經是很難了。更何況隨著企業移轉至雲端，數位受攻擊面持續擴大，不僅基礎架構變得分散，而且企業內還有許多自主管理的雲端資源，這件事將變得難上加難。

為了協助資安長更簡單扼要地向董事會說明企業的雲端風險與資安情況，我們設想了一個問題：「如果資安長要用 15 分鐘的時間跟一張投影片來向董事會說明，那麼資安長該如何讓董事會了解企業的雲端風險？」

對資安長來說，這真是個大哉問，網路資安的影響層面太大，甚至超越了運算與內部應用程式，這基本上是雲端的一項挑戰。根據我們和客戶接觸的經驗，雲端風險的評估主要有三種方式。

繼續閱讀

不只雙重勒索,Black Basta 收編 QakBot 木馬與 PrintNightmare 漏洞,擴充軍火庫

2022 年 07 月 17 日2022 年 07 月 14 日趨勢科技 TrendMicro

最近趨勢科技研究了一起由 Black Basta 勒索病毒 Ransomware集團所策劃的攻擊，這起攻擊使用了 QakBot 木馬程式作為首次入侵及橫向移動手段，同時也運用 PrintNightmare 漏洞來執行一些需要提高權限的檔案操作。

Black Basta 勒索病毒集團自今年 4 月開始營運以來，近期在全球已累積 50 起攻擊案例，可說是惡名昭彰，同時它還採用了現代化勒索病毒慣用的雙重勒索手法，除了會將機密資料加密之外，還會威脅受害者若不支付贖金就要將資料外流。這個新興的勒索病毒集團一直在不斷精進其攻擊手法。最近我們發現他們使用 QakBot 銀行木馬程式作為首次入侵及橫向移動手段，同時也運用 PrintNightmare 漏洞 (CVE-2021-34527) 來執行一些需要提高權限的檔案操作。
◾延伸閱讀:竟在”已傳送”郵件資料夾內偵測到高風險 Qakbot 病毒?原來帳號被盜了!

根據趨勢科技某家客戶的案例，其系統上感染的 Black Basta 勒索病毒就是由 QakBot 所植入 (圖 1)。這是 QakBot 惡意程式家族的典型行為，也是許多勒索病毒家族所使用的散播途徑，例如：MegaCortex、PwndLockerm、Egregor、ProLock 和 REvil (亦稱為 Sodinokibi)。QakBot在 2007 年首次被發現，向來以滲透能力著稱，曾在多起攻擊行動中扮演「惡意程式安裝服務」的角色。多年來，這個銀行木馬程式越來越精密，從它有能力攻擊新發現的 Microsoft 零時差漏洞 Follina (CVE-2022-30190) 即可見一斑。

繼續閱讀

新的 HavanaCrypt 勒索病毒假扮成 Google Software Update 應用程式，使用 Microsoft 代管服務 IP 位址作為 C&C 伺服器

2022 年 07 月 12 日2022 年 07 月 11 日趨勢科技 TrendMicro

最近趨勢科技發現一個新的勒索病毒 Ransomware家族 (趨勢科技命名為「HavanaCrypt」)，它會假扮成一個 Google Software Update 應用程式，並使用 Microsoft 網站代管服務的 IP 位址作為其幕後操縱 (C&C) 伺服器來躲避偵測。

勒索病毒雖然不是什麼新的發明，但至今仍是全世界最嚴重的網路資安威脅之一。事實上，根據趨勢科技 Smart Protection Network™ 全球威脅情報網的資料，2022 年第 1 季，我們在電子郵件、網址與檔案三個防護層上總共偵測並攔截了超過 440 萬次勒索病毒威脅，較 2021 年第 4 季整體勒索病毒威脅數量成長 37%。

勒索病毒之所以會如此猖獗，主要原因就在於它會不斷演變。它會隨時變換手法與伎倆來誘騙不知情受害者以入侵企業環境。例如今年，我們看到一些勒索病毒假扮成Windows 10、Google Chrome 及 Microsoft Exchange 更新來誘騙不知情受害者下載惡意檔案。

最近我們發現一個新的勒索病毒家族同樣也是使用類似伎倆，它會假扮成一個 Google Software Update 應用程式，並使用 Microsoft 網站代管服務的 IP 位址作為其幕後操縱 (C&C) 伺服器來躲避偵測。根據我們的研究顯示，這個勒索病毒會在其加密過程中使用 .NET System.Threading 命名空間中用來將工作排入執行佇列的 QueueUserWorkItem 函式，以及開放原始碼密碼管理軟體 KeePass Password Safe 的模組。

本文將從技術面深入分析這個我們命名為「HavanaCrypt」的最新勒索病毒家族與其感染技巧。

繼續閱讀