趨勢科技曾經預測勒索病毒Ransomware (勒索軟體/綁架病毒)的攻擊會在2017年達到高峰,並且維持這樣的水平,但是隨著時間的變遷,攻擊手法會更多變。2018上半年所出現的勒索病毒攻擊活動,驗證了這樣的預測,藉由更多開創性的手法提高了賭金。實際的案例如下:我們最近發現 Viro 殭屍網路(趨勢科技偵測為 RANSOM_VIBOROT.THIAHAH),他同時具備了殭屍網路(botnet)與勒索病毒的能力,許多美國的受害者受此病毒所影響。當 Viro 殭屍網路病毒感染電腦,受感染的電腦會成為垃圾郵件殭屍網路的一員,並發送勒索病毒給更多受害者。由目前的資訊看來,Viro殭屍網路病毒跟目前已知的勒索病毒家族並沒有直接相關。
感染鍊
Viro 殭屍網路病毒於2017年9月17日首次曝光,就在我們分析了一個模仿Locky勒索病毒的變種勒索病毒7天後。當 Viro 殭屍網路病毒下載到電腦上並且執行之後,它會檢查機碼值是否存在(電腦GUID以及產品金鑰),依此判斷這個系統是否應被加密。
圖1. Viro 殭屍網路病毒查詢機碼以檢查特定的機碼值是否存在。
趨勢科技最近發現了一隻新的勒索病毒(偵測為RANSOM_BLACKHEART.THDBCAH),它的惡意行為包括帶入並執行一個合法工具 – AnyDesk。這並非惡意軟體第一次濫用類似工具。一個擁有超過2億名使用者的工具 – TeamViewer也在之前被勒索病毒利用受害者連線來散播。
但在本案例中,RANSOM_BLACKHEART將合法程式和惡意軟體捆綁在一起,而非是利用AnyDesk來進行散播。
雖然 RANSOM_BLACKHEART具體是如何進入系統仍屬未知,但我們知道使用者有可能在瀏覽惡意網站時不自覺地下載了勒索病毒 Ransomware (勒索軟體/綁架病毒)。
一旦下載完成,RANSOM_BLACKHEART會產生並執行兩個檔案:
圖1、RANSOM_BLACKHEART產生的檔案
如前所述,第一個檔案包含了 AnyDesk,這是個功能強大的應用程式,可以在不同桌面作業系統(包括Windows、MacOS、Linux和FreeBSD)間進行雙向遠端控制,並且可以在Android和iOS上進行單向存取。此外,它還可以傳輸檔案,提供聊天客戶端及記錄連線內容。要注意的是,攻擊者所用的是舊版AnyDesk而非目前的版本。
圖2、我們所分析樣本所帶的 AnyDesk使用者介面
勒索病毒已經出現十多年了,因為病毒的攻擊手法越來越精細,幾乎所有的國家都出現受害者,成為了全球性的威脅。根據CSO的報導,勒索病毒的歷史比許多人所想的都更漫長。儘管過去幾年出現的大規模攻擊讓其成為矚目的焦點,但其實駭客從2005年開始就一直在使用勒索病毒。而且在過去11年間的勒索病毒攻擊已經超過一般的資料外洩事件。
不幸的是,網路犯罪份子持續在勒索病毒方面取得成功,幾乎每天都有更多的知名企業淪為這類攻擊的受害者。毫無疑問地,勒索病毒會繼續成為網路安全產業眼中的威脅。這裡有三個勒索病毒在未來數年仍將持續肆虐的理由:
1)勒索病毒持續進化中
大多數的勒索病毒都屬於加密型或上鎖型。Heimdal Security解釋說明,加密型勒索病毒(或說是鎖住資料)會利用複雜的加密演算法讓受害者無法存取系統檔案和資料。CryptoLocker是這類型中最知名的勒索病毒之一。從局外人的角度來看,勒索病毒可能看似簡單:從受害者那裡取走一些東西並要求錢來贖回。然而在加密型和上鎖型之下還有好幾種不同類型的勒索病毒,並且有許多種感染受害者的手法。
另一種的上鎖型勒索病毒則是會鎖住中毒設備的作業系統,這意味著所有檔案和資料以及應用程式和系統都無法使用。最近的Petya攻擊就屬於這類型。 繼續閱讀
近年來最惡名昭彰的兩個惡意程式:CTB Locker 和 Cerber 勒索病毒,其涉案嫌犯最近在羅馬尼亞遭到逮捕。羅馬尼亞負責調查網路犯罪的機構「Directorate for Investigating Organized Crime and Terrorism」(組織犯罪暨恐怖主義調查總局,簡稱 DIICOT) 與歐洲刑警組織 (Europol)、美國聯邦調查局 (FBI) 以及歐洲多國警方共同合作,逮捕了五名涉嫌散布 CTB-Locker 與 Cerber 勒索病毒的嫌犯。
Critroni (亦稱 Curve-Tor-Bitcoin,簡稱 CTB) Locker 最早可追溯至 2014 年,是一個會利用 Tor 洋蔥網路來隱藏其行蹤以防止執法機關追查的勒索病毒。而 Cerber,則是一個極難纏又不斷演進的勒索病毒,近年來更增加了不少強大功能。
這項名為「Bakovia」的逮捕行動,總共搜查了六處羅馬尼亞民宅,調查人員起出了一批筆記型電腦、硬碟、外接儲存裝置、數位加密貨幣採礦裝置,以及各種文件。被逮的嫌犯據稱是某犯罪集團的成員,該集團已因多起犯罪而遭到起訴,包括:非法入侵電腦、意圖濫用裝置從事網路犯罪、散發黑函。整起調查行動原先只是針對 CTB Locker 和 Cerber 個別攻擊案例的獨立調查,後來調查人員發現兩者其實為同一集團所為,因此才開始併案調查。
網路攻擊已經不再是「專業駭客」的專利
根據進一步資料顯示,嫌犯在攻擊當中使用的惡意程式並非自行開發,而是以 30% 的獲利為交換向真正開發的駭客取得。這就是所謂的「勒索病毒服務」(Ransomware-as-a-Service,簡稱 RaaS),也算是一種合作方案,是黑暗網路當中常見的合作模式。 繼續閱讀
任何人,據稱只要 50 美元,就能取得WannaCry(想哭)勒索病毒的終生授權,而且可以無限升級。今年 5 月 14 日,我們在阿拉伯文地下網站上看到這則廣告,就在 WannaCry 勒索病毒大爆發之後的兩天。這項在全球造成慘重災情的威脅,搖身一變成了一般性商品,只要有心,任何人都能拿它來建立自己的網路犯罪事業。
此外,WannaCry 的價格也相對低廉,這反映出中東與北非地下市場重視兄弟情誼的獨特一面。有別於俄羅斯和北美地下市場上的犯罪分子大多以賺錢為主要目的,中東與北非的地下市場是一個文化、意識形態及網路犯罪的大融合。各式各樣的惡意程式在這裡幾乎是免費贈送,例如:遠端存取木馬程式 (RAT)、鍵盤側錄程式、SQL 資料隱碼攻擊工具、垃圾郵件散發工具等等。而且,這種兄弟情誼也表現在成員之間共同策畫及執行分散式阻斷服務 (DDoS) 攻擊與網站入侵詆毀行動當中。
圖 1:WannaCry 勒索病毒在中東與北非地下市場上的廣告。
該市場當然也販售著其他勒索病毒。事實上,我們曾在土耳其地下市場上看到一個化名為「Fizik」的俄羅斯網路犯罪分子在兜售 CTB-Locker 勒索病毒 (亦稱為 Critroni 或 Curve-Tor-Bitcoin)。值得注意的是,同一廣告也曾出現在 Fizik 自 2006 年起就相當活躍的俄羅斯地下市場上。 繼續閱讀