FBI: 光是今年,勒索病毒所造成的損失就高達 10 億美元,端點防護如何讓企業防範勒索病毒?

 

本文是一系列四篇部落格文章的第二篇,專門探討勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊一般使用者及企業的各種不同技巧。從這些技巧看來,防範這類威脅最好的方式就是在企業網路的各個層面建置多層式防護,從閘道、端點、到網路和伺服器。

先前的文章請參考這裡:

  • 勒索病毒的攻擊媒介了無新意,為何能繞過傳統的安全解決方案?

FBI: 光是今年,勒索病毒所造成的損失就高達 10 億美元

根據 FBI 美國聯邦調查局預測,光是今年,勒索病毒 Ransomware (勒索軟體/綁架病毒)所造成的損失就高達 10 億美元。勒索病毒儼然已成為一項「錢」景看好的生意,而網路犯罪集團也正積極轉戰其他領域來開拓更多攻擊目標,無論一般使用者或大大小小的各種企業皆無一倖免。

一般來說,中小企業 (SMB) 通常缺乏足夠的資源來建置完善的資安解決方案,根據一項調查顯示,美國有 65% 的中小企業不願將錢花在勒索病毒相關問題上,包括支付贖金或建置防護;而大型企業,儘管已建置了多層式防護,其網路仍舊存在著資安風險,尤其當威脅來自已知的信任來源,例如:第三方合作夥伴、廠商、聯絡人或是自己的員工。在這樣的情況之下,具備良好行為監控以及應用程式控管功能的端點防護,將是企業對抗勒索病毒的最後一道防線。

圖 1:勒索病毒攻擊與因應解決方案。

行為監控如何運作

趨勢科技 Smart Protection Suite 和 Worry-Free Pro當中所內建的行為監控功能可追蹤並封鎖任何「異常」或不常見的系統行為或變更,如此就能根據已知和未知的攻擊手法與技巧,包括加密、操弄處理程序、在系統植入檔案、幕後操縱 (C&C) 通訊等等,主動偵測及防止勒索病毒與加密勒索病毒執行,此外,還可封鎖專門竊取資訊的勒索病毒變種,如 RAAMIRCOP勒索病毒。 繼續閱讀

父親節爸爸3C問題大調查:跨裝置資料同步最讓爸爸頭痛

趨勢科技旗艦服務管家式數位服務諮詢  造福跨世代爸爸

看準數位產品問題複雜難懂  遠端操作受歡迎 服務年成長五成

【2016年8月3日台北訊】隨著數位產品發展日新月異,加上跨裝置使用行為日趨頻繁,家中成員平常在數位產品使用上遇到的問題也越來越複雜!根據趨勢科技旗艦服務線上調查資料顯示,目前有近七成的服務使用者為35至60歲的爸爸族群,其中65% 以上是小家庭或是三代同堂,當家人面對這些複雜的數位產品問題時,爸爸往往成為第一手求援的對象。隨著數位家庭生活型態的改變,趨勢科技旗艦服務這樣的『管家式』數位產品諮詢服務將成為未來的服務潮流。

父親節前夕王仁甫(右)應邀出席趨勢科技旗艦服務「打造超人老爸」活動,現場挑戰限時解決各樣3C使用問題,大方分享自己當超人老爸的秘密武器「趨勢科技旗艦服務」(左為趨勢科技台灣暨香港總經理洪偉淦)
父親節前夕王仁甫(右)應邀出席趨勢科技旗艦服務「打造超人老爸」活動,現場挑戰限時解決各樣3C使用問題,大方分享自己當超人老爸的秘密武器「趨勢科技旗艦服務」(左為趨勢科技台灣暨香港總經理洪偉淦)

年輕爸爸與中壯年爸爸都因跨裝置使用而頭痛!

現代家庭中各年齡成員的生活與數位科技都已經是密不可分,趨勢科技台灣暨香港區總經理洪偉淦表示:「未來家庭中連網裝置數量將越來越多;當數位產品種類與功能越來越多樣化時,家庭成員所需面對、處理的數位科技問題將日益複雜。」根據趨勢科技旗艦服務線上調查統計資料顯示,現代爸爸已經可以稱為是「跨世代全能」爸爸,不論是30至45歲的年輕爸爸或是45歲以上的中壯年爸爸,都有各項數位產品的問題要協助家中大小成員來解決;不論是困擾年輕爸爸的病毒感染求助問題或是中壯年爸爸面臨長輩來訊問電腦速度緩慢或是行動裝置無法上網等,都考驗著爸爸如何在忙碌的工作中發揮3C好幫手的處理能力。

調查中並顯示,不論是那一個年齡層的家中成員,跨裝置資料同步的問題都躍居兩個世代的前三大頭痛問題第一名。爸爸最常被家人呼喊求救的數位產品問題包含:

35-45歲爸爸:

  • 裝置受病毒感染等網路安全問題(75%)
  • 手機與電腦等跨裝置資料如何同步的問題(68%)
  • 各項軟體與App如何安裝或升級(35%)

45歲以上爸爸:

  • 跨裝置的資料如何同步(60%)
  • 電腦速度緩慢、電腦當機、無法上網等電腦使用上的問題(50%)
  • 手機與電腦軟體安裝的問題、如何連網等裝置使用的問題(45%)

繼續閱讀

Cerber勒索病毒利用雲端平台,感染家庭用戶和企業


Cerber勒索病毒
利用雲端平台來感染家庭用戶和企業,雖然這些平台跟桌面系統是同樣地安全,但鑑於CERBER的社交工程技倆,比如偽裝成收據或債務本票,建議使用者要停用Office程式的巨集功能,開啟未知或可疑寄件者的郵件附件檔時要謹慎小心,好的備份策略也可以有效的對抗勒索病毒

隨著雲端服務日漸被一般使用者採用,網路犯罪分子也同樣地想辦法來濫用它們,利用它們來散播惡意軟體。相對地,惡意分子也希望透過攻擊企業所採用的雲端生產力平台來將處理敏感企業資料的用戶變成受害者,當資料無法存取時就會對業務運作造成嚴重的影響。

一個典型的例子:CERBER勒索病毒 Ransomware (勒索軟體/綁架病毒),它的最新變種被趨勢科技偵測為RANSOM_CERBER.CAD,被發現會針對微軟的雲端辦公室方案:Office 365的使用者,特別是家庭用戶和企業。

CERBER最新變種會產生四個勒贖通知:聲音版本勒贖通知的VBS檔案,打開預設瀏覽器連到付費網站的.url檔案,然後還有.html和.txt檔案(如上所示)。
CERBER最新變種會產生四個勒贖通知:聲音版本勒贖通知的VBS檔案,打開預設瀏覽器連到付費網站的.url檔案,然後還有.html和.txt檔案(如上所示)。

 

Cerber 是少數利用電腦語音念出勒贖通知的勒索病毒

自從三月出現肆虐以來,CERBER勒索病毒家族也有所更新,加入了新功能,如分散式阻斷服務攻擊 (DDoS)攻擊及利用雙重壓縮Windows腳本檔案(WSF)來躲避啟發式分析並繞過垃圾郵件(SPAM)過濾程式。身為少數利用電腦語音念出勒贖通知的勒索病毒是它的獨特之處,它的原始碼甚至在俄羅斯地下市場內以勒索病毒即服務(Ransomware-as-a-Service)的商業模式交易,好讓網路犯罪運作賺更多的黑心錢。這惡意軟體主要透過惡意廣告活動加上Nuclear漏洞攻擊套件的攻擊組合來散播。

Cerber勒索病毒帶有惡意附件(此例中為Word範本檔案)偽裝成收據或債務本票的垃圾郵件樣本。
Cerber勒索病毒帶有惡意附件(此例中為Word範本檔案)偽裝成收據或債務本票的垃圾郵件樣本。

 

繼續閱讀

趨勢科技與國際刑警組織 (INTERPOL) 合作逮捕奈及利亞網路犯罪集團首腦

在趨勢科技研究人員的協助下,國際刑警組織 (INTERPOL) 和奈及利亞經濟與金融犯罪委員會 (Economic and Financial Crime Commission,簡稱 EFCC) 最近破獲了一個變臉詐騙集團 (又稱為商務電子郵件入侵Business Email Compromise, BEC)   ,並且逮捕了 40 歲的奈及利亞籍犯罪首腦「Mike」,該集團涉及了多起 BEC 詐騙、419 詐騙以及愛情詐騙等等。

Mike 旗下的犯罪集團成員遍布奈及利亞、馬來西亞與南非等國,警方相信其不法獲利超過 6,000 萬美元以上,受害者分布廣泛,其中單一受害者甚至損失 1,500 萬美元以上。

趨勢科技對於 BEC 詐騙集團的調查

我們是在 2014 下半年調查 Predator Pain 和 Limitless 兩個 BEC 詐騙惡意程式時開始注意到 Mike (他曾經化名為「Chinaka Onyeali」和「Beasley Martyn」)。我們在分析前述惡意程式幕後操縱 (C&C) 基礎架構的過程中追查到 Mike。隨後在 2014 年末,我們將所有關於 Mike 的資料轉交給國際刑警組織。國際刑警組織正是透過這份資料,再加上其他研究人員提供的資訊,循線追查到 Mike 並於 2016 年 6 月將他逮捕到案。

BEC 可說是一種非常有效的詐騙手法,歹徒已經從各式各樣的企業手中騙到相當龐大的金額。根據估計,從 2013 年至 2015 年,BEC 已累積造成 23 億美元的損失,到了 2016 年甚至攀升至 30 億美元。這類詐騙專門鎖定企業內部掌管公司帳目的員工 (會計、行政及財務),且專門假冒成公司高層主管 ( CXX之類的)。這種詐騙手法可說是屢試不爽,許多企業都曾遭其毒手。我們先前就曾在「數十億美元的詐騙:商務電子郵件入侵 (BEC) 背後的數字」一文當中探討過這類手法。

趨勢科技從 2014 年起便 經由國際刑警組織在新加坡的全球創新總部 ( Global Complex for Innovation,簡稱 IGCI) 與國際刑警組織展開密切合作 。這項合作案已促成多個網路犯罪集團的破獲及逮捕行動,其中甚至包括一些自以為躲在法律鞭長莫及之處的歹徒。未來,我們將繼續與國際刑警組織密切合作,協助他們將更多網路犯罪集團繩之以法。

 

趨勢科技技術長 Raimund Genes 表示:「趨勢科技一向致力推動公私部門合作共同打擊網路犯罪。這群專門利用科技來犯罪的分子是我們的共同敵人,因此趨勢科技將盡力協助執法機關逮捕並起訴這些網路歹徒。這一次的成功經驗,象徵著網路資安社群合作又再度邁向另一個里程碑。」

這位奈及利亞籍嫌犯據稱是某個 40 人犯罪集團的首腦,其成員遍布奈及利亞、馬來西亞與南非,他負責提供惡意程式並執行網路攻擊。同時,警方懷疑他利用中國、歐洲與美國洗錢集團提供的人頭帳戶來存放贓款。

國際刑警組織全球創新總部 (INTERPOL Global Complex for Innovation) 執行董事 Noboru Nakatani 表示:「這次的逮捕行動全靠資安社群成員們的群策群力才能順利達成。因為,創造一個更安全的網際網路世界,是大家共同努力的目標。由於複雜性使然,變臉詐騙非常難以追查,因此公私部門合作變得非常重要。」

趨勢科技身為國際刑警組織的策略合作夥伴,經常透過該組織位於新加坡的國際刑警組織全球創新總部為該組織及其會員國提供必要的知識、資源及策略來打擊全球網路犯罪。

勒索病毒也爆山寨版? 涉嫌抄襲 CryptXXX 的CrypMIC

俗話說:「模仿是最好的讚美」。CrypMIC (趨勢科技命名為 RANSOM_CRYPMIC) 這個新的勒索病毒 Ransomware (勒索軟體/綁架病毒) 家族,似乎在入侵管道、勒索訊息以及付款網站介面上都模仿了 CryptXXX 勒索病毒。CrypMIC 的作者很可能是看上 CryptXXX 在最近撈了不少而想來分一杯羹,希望藉此海撈一票。

圖 1:超級比一比:CrypMIC  (左) 和 CryptXXX (右) 勒索訊息及付款網站。
圖 1:超級比一比:CrypMIC  (左) 和 CryptXXX (右) 勒索訊息及付款網站。

CrypMIC 和 CryptXXX 有許多共通之處:兩者都是經由 Neutrino 漏洞攻擊套件 來散布,並使用相同的小版本編號/殭屍電腦ID格式 (U[6碼數字] /  UXXXXXX]),而其函式的命名也相同 (MS1、MS2)。此外,兩者也都採用了客製化通訊協定,經由 TCP 協定的 443 連接埠來與幕後操縱 (C&C) 伺服器通訊。

然而進一步分析之後,我們發現 CrypMIC 和 CryptXXX 的原始碼和能力卻不相同。例如,CrypMIC 並不會將其所加密的檔案附檔名改成某個特殊名稱,這讓使用者更難分辨哪些檔案已遭到綁架。此外,兩者所使用編譯器和混淆編碼手法也不同。CrypMIC 多了一道檢查自己是否在虛擬機器 (VM) 上執行的程序,並且會將此資訊回報給 C&C 伺服器。

下表比較兩者的異同之處: 繼續閱讀