趨勢科技近日觀察發現,名為Magniber的勒索病毒,偽裝成Windows 10的系統更新程式,將惡意程式包裝成Windows Installer MSI檔案,以降低受害者的戒心。因此,趨勢科技特別提醒用戶應提高警覺。
攻擊手法:
此類攻擊手法主要透過以下幾個步驟:
標籤: 勒索軟體
中了勒索病毒?緊急處理六步驟,該做與不該做的十件事!
當談到勒索病毒Ransomware (勒索軟體/綁架病毒) (以及所有惡意程式),預防絕對重於治療。簡單來說,您的目標就是要確保自己的電腦不會成為駭客的理想攻擊目標,讓自己變得跟刺蝟一樣。此外,應變計劃也很重要,換句話說,就是要備份資料,這樣駭客就無法刁難您。以下提供一些步驟來協助您防範勒索病毒感染。
預防勒索病毒從日常習慣開始
安全使用電子郵件的六要點:
所有電子郵件都應掃描附件檔案是否含有惡意程式。在開啟不明來源附件檔案時,請務必小心。- 避免開啟附件中的執行檔。
- 電子郵件應用程式,以及瀏覽器和作業系統,都應定期保持更新。
- 避免點選電子郵件訊息中所附的連結。
- 重複檢查寄件人郵件地址,確認郵件來自合法來源。
- 留意一些網路釣魚郵件的徵兆,例如:文法錯誤、可疑附件、奇怪的網域名稱。
不只雙重勒索,Black Basta 收編 QakBot 木馬與 PrintNightmare 漏洞,擴充軍火庫
最近趨勢科技研究了一起由 Black Basta 勒索病毒 Ransomware集團所策劃的攻擊,這起攻擊使用了 QakBot 木馬程式作為首次入侵及橫向移動手段,同時也運用 PrintNightmare 漏洞來執行一些需要提高權限的檔案操作。
Black Basta 勒索病毒集團自今年 4 月開始營運以來,近期在全球已累積 50 起攻擊案例,可說是惡名昭彰,同時它還採用了現代化勒索病毒慣用的雙重勒索手法,除了會將機密資料加密之外,還會威脅受害者若不支付贖金就要將資料外流。這個新興的勒索病毒集團一直在不斷精進其攻擊手法。最近我們發現他們使用 QakBot 銀行木馬程式作為首次入侵及橫向移動手段,同時也運用 PrintNightmare 漏洞 (CVE-2021-34527) 來執行一些需要提高權限的檔案操作。
延伸閱讀:竟在”已傳送”郵件資料夾內偵測到高風險 Qakbot 病毒?原來帳號被盜了!
根據趨勢科技某家客戶的案例,其系統上感染的 Black Basta 勒索病毒就是由 QakBot 所植入 (圖 1)。這是 QakBot 惡意程式家族的典型行為,也是許多勒索病毒家族所使用的散播途徑,例如:MegaCortex、PwndLockerm、Egregor、ProLock 和 REvil (亦稱為 Sodinokibi)。QakBot在 2007 年首次被發現,向來以滲透能力著稱,曾在多起攻擊行動中扮演「惡意程式安裝服務」的角色。多年來,這個銀行木馬程式越來越精密,從它有能力攻擊新發現的 Microsoft 零時差漏洞 Follina (CVE-2022-30190) 即可見一斑。
新的 HavanaCrypt 勒索病毒假扮成 Google Software Update 應用程式,使用 Microsoft 代管服務 IP 位址作為 C&C 伺服器
最近趨勢科技發現一個新的勒索病毒 Ransomware家族 (趨勢科技命名為「HavanaCrypt」),它會假扮成一個 Google Software Update 應用程式,並使用 Microsoft 網站代管服務的 IP 位址作為其幕後操縱 (C&C) 伺服器來躲避偵測。
勒索病毒雖然不是什麼新的發明,但至今仍是全世界最嚴重的網路資安威脅之一。事實上,根據趨勢科技 Smart Protection Network™ 全球威脅情報網的資料,2022 年第 1 季,我們在電子郵件、網址與檔案三個防護層上總共偵測並攔截了 超過 440 萬次勒索病毒威脅,較 2021 年第 4 季整體勒索病毒威脅數量成長 37%。
勒索病毒之所以會如此猖獗,主要原因就在於它會不斷演變。它會隨時變換手法與伎倆來誘騙不知情受害者以入侵企業環境。例如今年,我們看到一些勒索病毒假扮成Windows 10、Google Chrome 及 Microsoft Exchange 更新來誘騙不知情受害者下載惡意檔案。
最近我們發現一個新的勒索病毒家族同樣也是使用類似伎倆,它會假扮成一個 Google Software Update 應用程式,並使用 Microsoft 網站代管服務的 IP 位址作為其幕後操縱 (C&C) 伺服器來躲避偵測。根據我們的研究顯示,這個勒索病毒會在其加密過程中使用 .NET System.Threading 命名空間中用來將工作排入執行佇列的 QueueUserWorkItem 函式,以及開放原始碼密碼管理軟體 KeePass Password Safe 的模組。
本文將從技術面深入分析這個我們命名為「HavanaCrypt」的最新勒索病毒家族與其感染技巧。
繼續閱讀Conti 與 LockBit:十大勒索病毒集團的機密情資外洩, 45 % 都是它們做的!
趨勢科技藉由數據分析來比較 Conti 和 LockBit 兩大勒索病毒集團的攻擊目標偏好與經營模式。
從 2019 年 11 月至今,趨勢科技一直在密切監控多個勒索病毒集團的資料外洩網站,並持續分析其受害機構的數量與分布情況,以及這些集團公開了哪些受害者資訊。根據我們目前研究的結果顯示,Conti 和 LockBit 兩大集團的受害機構數量明顯高其他集團。我們的研究目的是要示範如何透過數據分析方法來深入掌握這些犯罪集團的運作方式,甚至是決策方式,我們與 Waratah Analytics 的同仁合作,在都柏林舉行的第 34 屆 Annual FIRST Conference 上發表這項研究。儘管某些報導指出 Conti 這個品牌早已終止營運,但由於它規模龐大,因此仍然是這類研究的絕佳案例。
當我們根據資料遭勒索病毒集團外洩的機構數量 (2019 年 11 月至 2022 年 3 月) 來列出 10 大勒索病毒集團排行榜時,有兩個集團特別突出:Conti 和 Lockbit。事實上這兩個集團加起來幾乎占了所有案例的 45%。
| 排行 | 勒索病毒集團 | 受害機構數量 |
| 1 | Conti | 805 |
| 2 | Lockbit | 666 |
| 3 | Maze | 330 |
| 4 | REvil/Sodinokibi | 309 |
| 5 | Pysa | 307 |
| 6 | DoppelPaymer | 206 |
| 7 | Egregor | 197 |
| 8 | Avaddon | 184 |
| 9 | NetWalker | 178 |
| 10 | Clop | 119 |
此處我們對比分析了這兩大集團的受害機構,並尋找兩者攻擊偏好的差異。
繼續閱讀