標籤: 地下經濟

勒索病毒DIY 套件,削價競爭,只要 39 美元,終生授權!煽動犯罪新手加入黑心掏金夢

趨勢科技 TrendMicro

「勒索病毒服務」(Ransomware as a Service, RaaS)背後經濟學

勒索病毒 Ransomware (勒索軟體/綁架病毒) 已經成為網路犯罪集團心目中一棵巨大的搖錢樹,幾乎每個犯罪分子都想來分一杯羹。為此,一些擁有技術能力的犯罪集團便開發出一種商業模式,以服務的方式提供勒索病毒 DIY 套件來讓其他入門新手或是想要從事網路犯罪的人加入這場掏金夢,這就是所謂的「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)。

最近,RaaS 的價格又再度開始滑落,原因是,當勒索病毒的需求不斷成長之後,已有更多的病毒作者紛紛投入這塊市場,進而導致競爭激烈,價格隨之下滑。不過,Stampado 的作者看上的一點是,對從事犯罪的歹徒來說,不管是高手撰寫的精密勒索病毒,或是粗劣的仿製品,其實沒有太大差別,只要能達到效果,讓歹徒快速海撈一票,就會有人購買。

 

勒索病毒 Ransomware (勒索軟體/綁架病毒) 已經成為網路犯罪集團心目中一棵巨大的搖錢樹,幾乎每個犯罪分子都想來分一杯羹。為此,一些擁有技術能力的犯罪集團便開發出一種商業模式,以服務的方式提供勒索病毒 DIY 套件來煽動其他入門新手或是想要從事網路犯罪的人加入這場黑心掏金夢,這就是所謂的「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)。

一個名為「Stampado」(趨勢科技命名為 RANSOM_STAMPADO.A) 的新勒索病毒家族開始出現。一開始,資安研究人員甚至還無法取得該威脅的樣本,儘管新聞媒體上已經出現報導,而且聽說價格便宜 (套句作者的話還非常「容易管理」),在地下市場上只要 39 美元就能取得永久授權。

圖 1:Stampado 在深層網路上刊登的廣告,主打:只要 39 美元就能取得永久授權
圖 1:Stampado 在深層網路上刊登的廣告,主打:只要 39 美元就能取得永久授權

 

然而根據研究人員的分析發現,Stampado 似乎涉嫌抄襲當今最流行的勒索病毒之一:Jigsaw。兩者都會在一段時間之後隨機刪除檔案來逼迫受害者支付贖金。 繼續閱讀

2 億 7,200 萬筆失竊電子郵件帳號資料,駭客只賣 1 美元

趨勢科技 TrendMicro

美國威斯康辛州資安廠商 Hold Security 的員工 Alex Holden 表示,他在某駭客的收藏品當中發現了數億筆使用者帳號資料,包括:電子郵件地址和登入密碼。這批資料包含了各大電子郵件服務廠商的帳號:Mail.ru (俄羅斯知名電子郵件服務)、Google、Yahoo、Microsoft (Hotmail),以及一些德國和中國的電子郵件服務。

該研究人員表示,其公司研究人員是在某俄羅斯地下網路論壇上看到有駭客吹噓自己收藏了高達 11.7 億筆使用者帳號密碼,才會讓這件事浮上檯面。經過進一步的分析並去除重複資料之後,該公司確認非重複的帳號資料有 2 億 7,230 萬筆,其中 15% 是之前未曾曝光的。Holden 指出,其中有 5,700 萬筆是 Mail.ru 帳號,若對照 Mail.ru 在 2015 年底所公布的 6,400 萬活躍用戶來看,比例可說是相當驚人。其餘的資料還有:Yahoo! 帳號 4,000 萬筆、Hotmail 帳號 3,300 萬筆, Gmail 帳號 2,400 萬筆等等。

有趣的是,駭客原本想將整批資料以 50 俄羅斯盧布 (不到 1 美元) 的價格出售,但 Hold Security 卻藉由同意在駭客論壇上給該賣家優良評價而免費取得了這批資料。

[延伸閱讀:揭開五個資料外洩的迷思]

此事件讓幾星期以來的一連串資料外洩又增添一樁,其中最知名包括:美國電信業者 Verizon Enterprise、天主教丹佛總教區 The Catholic Archdiocese of Denver、史丹佛大學 Stanford University 以及美國知名連鎖超市 Sprouts Farmers Market繼續閱讀

令 IT 管理者頭痛的可客製化攻擊工具:Lost Door遠端存取木馬

趨勢科技 TrendMicro

 

趨勢科技最近發現一起網路攻擊使用被稱為Lost Door的遠端存取木馬(RAT),這是個在社群媒體網站就有提供的工具。讓我們對此遠端存取木馬(偵測為BKDR_LODORAT.A)最驚訝的是它會利用路由器的端口轉發(Port Forward)功能。這功能可以讓遠端系統連到內網裡特定的電腦或服務。但當其被作為惡意使用時,就可以被遠端攻擊者用來掩蓋自己在網路內的活動,避免被偵測。因為這個遠端存取木馬很容易客製化,即使是入侵指標(IoC)也可能無法阻止這威脅。像Lost Door這樣容易客製化的遠端存取木馬很難被偵測和防禦,對IT管理者來說是個頭痛的問題。

 

在YouTube和 Facebook等社群網站明目張膽宣傳,而非網路犯罪地下市場

不像其他攻擊工具大多只會出現在網路犯罪地下市場,Lost Door很容易取得。它就在社群媒體網站上進行宣傳,像是YouTube和Facebook。它的開發者「OussamiO」甚至有自己的Facebook網頁提供開發細節。甚至有專門部落格(hxxp://lost-door[.]blogspot[.]com/)來提供遠端存取木馬使用教學影片和說明。任何網路犯罪分子和有心人士都可以購買並使用這遠端存取木馬進行攻擊。

 

圖1、Lost Door遠端存取木馬在Facebook上的廣告
圖1、Lost Door遠端存取木馬在Facebook上的廣告

繼續閱讀

勒索病毒準備” 錢”進中國,中文勒索軟體現身!

趨勢科技 TrendMicro

勒索HACKER

當某種威脅開始以「在地化」方式出現時,即意味著駭客已在該地區嗅到錢的味道。勒索病毒 Ransomware (勒索軟體/綁架病毒)在全世界各地都賺進數百萬美元的非法獲利,現在他們準備開拓「中國」這片新的疆土。不過,這個初步嘗試似乎犯了不只一個錯誤。

趨勢科技最近發現簡中版的勒索病毒 Ransomware:Ransom_SHUJIN.A惡意程式。它的對象顯然是中國大陸。該勒索病毒在執行之後會出現下列訊息:

圖 1:勒索病毒顯示的恐嚇訊息。
圖 1:勒索病毒顯示的恐嚇訊息。

 

 

訊息的內容與其他勒索軟體相似,不外乎告訴使用者其檔案已被加密,並且註明有多少檔案被加密,以及被加密的檔案共多大。

此外,勒索訊息也和其他勒索軟體大同小異,包括:去哪裡下載TOR瀏覽器,如何連上歹徒架設在黑暗網路(Dark Web)的網站。 繼續閱讀