過去幾週，趨勢科技發現勒索病毒出現最新發展。首先是一個新的勒索病毒家族 (黑暗面-Darkside) 之外，Crysis/Dharma 勒索病毒集團也釋出了一個駭客工具套件。
另外,在訊息威脅部分，我們發現了一波專門散布 Negasteal/Agent Tesla 惡意程式的針對性電子郵件攻擊。

Darkside 勒索病毒:先評估攻擊目標財力，再決定要勒索多少錢

一個名叫「Darkside(黑暗面)」的新勒索病毒家族 (趨勢科技命名為：Ransom.Win32.DARKSIDE.YXAH-THA)  最近浮上檯面。此勒索病毒會要脅受害者若不支付贖金，將公布受害者的資料，此手法與之前的 Maze 和 Nefilim 勒索病毒類似。被加密的檔案，其副檔名會被加上受害者電腦的網路卡 (MAC) 位址。

根據勒索病毒的 Tor 網頁，其幕後犯罪集團其實會評估目標企業的財力，然後再決定要勒贖的金額。除此之外，駭客似乎不會攻擊醫療、教育、非營利及政府等機構。

Crysis 勒索病毒釋出就連菜鳥駭客也能輕鬆滲透網路的駭客工具套件

Crysis/Dharma 勒索病毒 (趨勢科技命名為  Ransom.Win32.CRYSIS.TIBGGS) 最近釋出了一個名為「Toolbox」的駭客工具套件。 Toolbox 當中包含了專門用來搜刮密碼的 Mimikatz、專門用來竊取遠端桌面協定 (RDP) 密碼的 NirSoft Remote Desktop PassView、專門用來竊取雜湊碼的 Hash Suite Tools Free，以及其他用來搜尋攻擊目標電腦並植入勒索病毒的工具。有了這個套件，就連菜鳥駭客也能輕鬆滲透網路。

由於 Crysis 採用的是勒索病毒服務  (RaaS) 的經營模式，因此這套工具有助於讓它散播得更廣。

延伸閱讀:” 只要 39 美元便提供「終身授權」” —深層網路上的勒索病毒服務(RaaS),對企業的意義為何?

Negasteal/Agent Tesla 經由電子郵件散發，鎖定銀行客戶

我們最近發現了一波電子郵件攻擊專門經由惡意附件散布 Negasteal/Agent Tesla 惡意程式 (趨勢科技命名為 TrojanSpy.MSIL.NEGASTEAL.DYSGXT)，此波攻擊的對象是泰國一家國有銀行 Krung Thai Bank (泰京銀行) 的客戶。電子郵件內容是有關「對外匯款交易」的收據，匯款金額將近 9,000 美元，郵件內容會請使用者下載並參閱附件檔案。附件檔案是一份會攻擊 Microsoft Office  CVE-2017-11882 漏洞的文件 (這是一個已經有 17 年歷史的 Microsoft Office 記憶體內容損毀漏洞)，一旦攻擊成功，就可以下載惡意檔案到受害電腦上執行。

首次發現於 2014 年的 Negasteal 一直以來都會經由網站控制台、FTP 或 SMTP 傳送竊取的資料。最近，我們發現它會經由可卸除式裝置流傳，因為它會竊取 Becky!Internet Mail 的登入憑證。

入侵指標資料

Darkside 勒索病毒

SHA-256	趨勢科技病毒碼偵測名稱
9cee5522a7ca2bfca7cd3d9daba23e9a30deb6205f56c12045839075f7627297	Ransom.Win32.DARKSIDE.YXAH-THA

網址

• hxxp://darksidedxcftmqa[.]onion/

Crysis/Dharma 勒索病毒

SHA-256	檔案名稱	趨勢科技病毒碼偵測名稱
1cec5e4563e2c1570353e54a4ecc12ab4d896ab7227fd8651adcd56b884c0c1c	GdAgentSrv.de.dll	HackTool.Win64.CVE20160099.A
28042dd4a92a0033b8f1d419b9e989c5b8e32d1d2d881f5c8251d58ce35b9063	process-hacker-2-39.exe	PUA.Win32.ProcHack.A
3680b9e492f49abc108313c62ceb0f009d5ed232c874cae8828c99ebf201e075	takeaway.exe	Ransom.Win32.CRYSIS.TIBGGS
47dc3672971c242154a36622145de7060f17f56af75d21e2130e4f57089f5e48	takeaway.exe	Ransom.Win32.CRYSIS.TIBGGS
75d9d85b152e030eb73d17c691203b49bf593ea6a4bddeae48ca255b22c2d36d	takeaway_ps1	Trojan.PS1.CRYSIS.AA
77cbab006cf6a801dbd1c752659bddf28562fb8681d20305dd1dc0b1e105c67a	takeaway.exe	Ransom.Win32.CRYSIS.TIBGGS
78983ad10fe05fadccb201dd3e8c7f952e93332433a42e3d331531c5497d1330	winhost.exe	Ransom.Win32.CRYSIS.TIBGGQ
b0b8fd4f6ab383014ea225c2b7776735af059f526cd7c4fdbdcb2e99d074ade7	takeaway.exe	Ransom.Win32.CRYSIS.TIBGGS
b2d2f4ecbc680d590743044744b3ff33c38e4aeb0ada990b0ae7be8291368155	takeaway.exe	Ransom.Win32.CRYSIS.TIBGGS
b5a69f7c4a3681a753f3512e3b36ac06c6ddbb1129a3e87f8c722ff4f9834f0a	purgeMemory.ps1	Trojan.PS1.KILLSVC.Ahacktool
edef024abe48d6ed7b4757d63a8fd448a8ecf1ad15afd39cc97c97b27ed4498e	takeaway.exe	Ransom.Win32.CRYSIS.TIBGGS
ef5f2ce1a4d68d656400906ae906b0c7e7f61017f14840a7ac145d59ee69a4bd	takeaway.exe	Ransom.Win32.CRYSIS.TIBGGS
f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446	NS2.ex	HackTool.Win32.NetTool.A

Negasteal/Agent Tesla

SHA-256	趨勢科技病毒碼偵測名稱
58e74875b3659fa34aa1ecefba1a43cc049b7bb1c83de5a26ec8045c60f1099e	Trojan.W97M.CVE201711882.YQUOOUM
6991150c06b278712b052377ef768ca80923ff9c3396e7de18fa0fbce7211c96	TrojanSpy.MSIL.NEGASTEAL.DYSGXT

原文出處：Threat Recap:Darkside, Crysis, Negasteal, Coinminer 分析師：Miguel Ang、Raphael Centeno、Don Ovid Ladores、Nikko Tamaña 與 Llallum Victoria

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂