企業資安 - 資安趨勢部落格

企業成勒索病毒的金礦：Cerber是如何加密資料庫檔案?

2016 年 12 月 09 日2016 年 12 月 09 日趨勢科技 TrendMicro

或許是為了讓Cerber開發者及其同夥可以賺到最多的錢，這隻勒索病毒 Ransomware (勒索軟體/綁架病毒)增加了對企業造成更大威脅的動作：加密資料庫檔案。這些組織資料的儲藏庫讓企業儲存、檢索、排序、分析和管理資料。有效使用就能夠助於維持組織效率，所以拿這些關鍵資料作人質無疑可以影響公司業務，觸及了底線。

作為提供服務給網路犯罪新手的勒索病毒，Cerber經歷過無數次的改版。它會利用更多技巧，包括整合DDoS元件、使用雙重壓縮的Windows腳本檔案以及利用雲端生產力平台，甚至與資料竊取木馬聯手犯案。

Cerber開發者對下游抽取40%的佣金，光是今年7月就賺進近20萬美元。

勒索病毒的不斷更新反映出其開發者的活躍程度及下游如何將其當作是有利可圖的生意。比方說，前一個版本在一天內就更新到4.1.5。Cerber開發者對下游抽取40%的佣金，光是今年7月就賺進近20萬美元。

為了讓受害者即刻付贖,資料庫檔案成綁匪肉票

加密資料庫檔案並非Cerber獨有的行為。2016上半年所出現的家族像rypJOKER（RANSOM_CRYPJOKER.A）、SURPRISE（RANSOM_SURPRISE.A）、PowerWare（RANSOM_POWERWARE.A）和Emper（Ransom_EMPER.A）等都將資料庫相關副檔名加入加密列表。包括了dBASE（.dbf）、Microsoft Access（.accdb）、Ability Database（.mdb）和OpenOffice（.odb）等檔案。想想看資料庫檔案對於企業來說有多麼重要，開發者讓它們成為Cerber的加密檔案類型可以說是為了讓受害者更急切與願意付錢的手段。

自動避開俄羅斯等語系

Cerber 4.1.0、4.1.4和4.1.5就跟其它變種（Ransom_CERBER.CAD、Ransom_CERBER.A）一樣，設計成會避開某些語系的設備和系統。它使用API – GetKeyboardLayoutList來取得語言設定，勒索病毒偵測到下列語系就會終止自己：俄羅斯、烏克蘭、白俄羅斯、塔吉克語、亞美尼亞、阿澤里語、格魯吉亞語、哈薩克語、克里吉斯斯拉夫語、土庫曼語、烏茲別克語拉丁語、韃靼語、羅馬尼亞摩爾多瓦語、俄羅斯摩爾多瓦語、阿塞里斯拉夫語和烏茲別克斯拉夫語。趨勢科技從今年3月到11月中在美國、台灣、德國、日本、澳大利亞、中國、法國、義大利、加拿大和韓國所觀察到的大部分Cerber 樣本都能夠看到此一行為。

繼續閱讀

販賣網路遊戲金幣：它如何成為攻擊企業的途徑?

2016 年 11 月 25 日2017 年 08 月 24 日趨勢科技 TrendMicro

作者：Raimund Genes（趨勢科技技術長）

跟 DDoS攻擊網路遊戲產業有類似遭遇的公司可能多不勝數。不過因為遊戲產業有著十億美元的產值，而且是個不斷成長的競爭社群，自然會引起網路犯罪分子的注意。像是最近的一起電子詐騙案，一群駭客從熱門的FIFA系列中挖出價值1600萬美元的金幣，將其賣給歐洲和中國的買家。在趨勢科技的研究中發現，這類遊戲金幣的販賣最終用來資助與網路遊戲無關的網路犯罪行動。

雖然有些網路攻擊似乎只針對特定產業，但威脅本身並無邊界，意味著它們也可能成為對其他產業進行更嚴重網路犯罪的入口。畢竟這麼巨大的潛在收入加上對數位貨幣的無法可管，要如何去阻止網路犯罪分子對網路遊戲產業進行更加多元的攻擊的賺錢大計？

圖1、如何洗出遊戲金幣來資助網路犯罪活動

繼續閱讀

超過一半勒索病毒加密的檔案類型與企業直接相關

2016 年 11 月 02 日2016 年 11 月 02 日趨勢科技 TrendMicro

保護企業環境同時又要維持業務運作是個棘手的平衡。IT管理員面臨著看似不可能的任務，在支援日常營運和維持關鍵服務正常運行的同時又要保護好網路。當安全廠商發布新的修補程式時，在將其部署到實際系統前需要先進行測試。因此，安裝修補程式經常會落在第二順位，因為通常需要重新啟動重要的系統和伺服器，這會拖累整體生產力並造成業務中斷。當然，不願快速地進行修補也令企業出現遭受攻擊的空窗期。

本篇文章是討論勒索病毒危害一般使用者和組織所使用技術之四部曲的最後一部。這些技術顯示出要解決此類威脅所造成風險的最佳作法是在企業網路的不同面向提供多層次的防護：從閘道到端點，再到網路和伺服器。
到這裡參考我們之前的文章：

伺服器上的勒索病毒解決方案

趨勢科技的年中安全綜合報告指出，有超過一半被勒索病毒 Ransomware (勒索軟體/綁架病毒)加密的檔案類型與企業有直接相關 – 資料庫檔案、SQL檔案和伺服器上的網頁都是常被針對的檔案類型。這些都位在伺服器上；對企業而言，伺服器上的勒索病毒是需要處理的確實威脅。我們將探討勒索病毒如何演變成會影響伺服器，及目前有哪些解決方案可以處理此一特定問題。

勒索病毒會搜尋可用的網路分享

除了遭受直接攻擊外，伺服器也常因為同網路內感染勒索病毒的端點而間接地受到影響。檔案分享是常見的原因之一；勒索病毒現在經常都會搜尋可用的網路分享。根據勒索病毒的行為，這可能最終會更直接地影響到伺服器。
伺服器可能經由漏洞而遭受勒索病毒攻擊

除了檔案分享外，伺服器也有遭受直接攻擊的危險。勒索病毒常見的攻擊媒介（如網路釣魚和惡意廣告）並不是用於伺服器。但相對地，伺服器可能經由漏洞而遭受直接攻擊。
攻擊醫院的SAMSAM勒索病毒就是個很好的例子，說明了伺服器也會成為勒索病毒的目標。在這些攻擊中，JBoss（Java網頁應用程式伺服器）漏洞被用來連上組織內的伺服器。將 Webshell 加到這些伺服器上，讓攻擊者能夠遠端控制這些系統。
從那時起，伺服器本身的檔案也成為被加密的目標；而攻擊者也可能試著在中毒網路內進行橫向移動，尋求其他有利可圖的勒索病毒目標。而結果是一樣的：檔案被加密，成為攻擊者勒贖的籌碼。
攻擊伺服器比一般攻擊個別系統的勒索病毒威脅需要花費更多的時間和精力，但獲得的黑心收益也比較高。比方說，當好萊塢長老教會醫療中心（位於加州洛杉磯）在2016年2月遭遇勒索病毒攻擊時，醫院最終支付了40比特幣（Bitcoin）的贖金。當時約等於17,000美元。繼續閱讀

駭客藉由販賣線上遊戲幣資助網路犯罪,企業連帶成了受害者

2016 年 10 月 25 日2017 年 02 月 07 日趨勢科技 TrendMicro

網路上已出現許多販賣線上遊戲幣的網站，而這類熱門的遊戲包括：《FIFA》、《魔獸世界》、《流亡黯道》等等，更有些人提供代練《寶可夢》帳號的服務。網路犯罪集團藉由經營線上遊戲幣業務充實資金，進一步拓展網路犯罪活動，攻擊更多企業機構，甚至遊戲伺服器。趨勢科技已見過多起駭客集團所發動的攻擊。

這些網站都有自己的廣告、促銷活動，甚至提供加密的付款機制。事實上，它們絕大部分就像一般的購物網站一樣提供了快速、安全的交易機制，更有 7 天 24 小時全天候線上即時通訊技術支援。

————————————————————————————-

網路犯罪集團藉由經營線上遊戲幣業務充實資金，進一步拓展網路犯罪活動，攻擊更多企業機構，甚至遊戲伺服器

線上遊戲產業長久以來都是網路犯罪的一大目標。這些年，我們看到玩家遭到各種網路釣魚攻擊，不然就是遊戲帳號被盜。至於遊戲公司，則是遭到分散式阻斷服務 (DDoS) 之類的攻擊。但這些威脅都跟遊戲本身無關，不過，我們最近發現了一種與玩家切身相關且影響廣泛的威脅。

根據趨勢科技最新的研究「網路犯罪集團販賣線上遊戲幣」(The Cybercriminal Roots of Selling Online Gaming Currency) 指出，網路犯罪集團現在會藉由販賣線上遊戲幣的方式來賺錢以資助其犯罪行動。

利用玩家之間相互比較的心理

這類手法專門針對那些會用真錢購買遊戲幣的玩家 (尤其是大型多人線上角色扮演遊戲，簡稱 MMORPG)。MMORPG 是一種讓全球玩家在網路虛擬世界當中共同探險的奇幻冒險遊戲。在這類遊戲當中，玩家很容易產生互相比較的心理，因此那些擁有大量遊戲幣可購買稀有寶物或是意外獲得稀有寶物的玩家，通常都是人人稱羨的對象。

然而，有些玩家會向人購買遊戲幣來節省練功賺遊戲幣的時間和精力，以便在短期之內迅速累積大量遊戲幣。當然，這樣的行為讓遊戲開發人員和廠商不齒，因為這簡直就是作弊，是一種可能被「封帳號」的違規行為。

當然，在線上遊戲當中作弊並不犯法，就像買賣線上遊戲代幣也不犯法。網路犯罪集團深知這點，也藉此發展出一套賺錢秘方。網路上已出現許多販賣線上遊戲幣的網站，而這類熱門的遊戲包括：《FIFA》、《魔獸世界》、《流亡黯道》等等，更有些人提供代練《寶可夢》帳號的服務。這些網站都有自己的廣告、促銷活動，甚至提供加密的付款機制。事實上，它們絕大部分就像一般的購物網站一樣提供了快速、安全的交易機制，更有 7 天 24 小時全天候線上即時通訊技術支援。

企業連帶成了受害者

網路犯罪集團藉由經營線上遊戲幣業務來充實資金，進一步拓展網路犯罪活動，攻擊更多企業機構，甚至遊戲伺服器。我們已見過多起由 Lizard Squad、Team Poison 和 Armada Collective 等駭客集團所發動的攻擊。繼續閱讀

《資安漫畫》瀏覽合法的官方網站也會中毒！？一次看懂勒索病毒四個地雷

2016 年 10 月 18 日2016 年 11 月 22 日趨勢科技 TrendMicro

「只要不點入可疑網站就不會中毒」?!

Q：瀏覽合法的官方網站也會感染上勒索病毒！？

A：是的，如果電腦有軟體的修補程式沒有更新的話，遇到「Drive by download」路過式下載攻擊，瀏覽惡意網頁或惡意廣告就會中毒，台灣也傳出相關案例。

Q：Cerber勒索病毒透過惡意廣告散播，主要集中在台灣，只要不點擊廣告就不會中招？

A：惡意廣告是勒索病毒傳播的主要途徑之一，大多數人對於惡意廣告有著很大的誤解，就是要有點擊的動作才會受到危害，事實上，惡意廣告的攻擊並不需要使用者的點擊，只要瀏覽器或裝置顯示出惡意廣告，使用者就會受到攻擊。

Q：網路追劇也有可能遇到勒索病毒嗎？

A：很多網友因為在網路追劇中毒，因為有些廣告會在影片播放前顯示，網路犯罪集團會經由這類廣告來散布惡意程式。這就是所謂的「惡意廣告」，除了勒索病毒,它們也利用軟體漏洞在系統暗中植入一些可竊取帳號密碼、銀行資訊和個人資料的惡意程式。

Q：CryptXXX勒索病毒受害者回報瀏覽過內容農場網站後出現中毒症狀，所以大型網站比較安全嗎？

A：在台灣傳出大量災情的 CryptXXX(RANSOM_Waltrix)勒索病毒主要利用Flash/SilverLight/IE的漏洞進行攻擊，據受害者反映，瀏覽新聞網站、入口網站以及文章常在 Facebook 臉書上被分享的一些內容農場網站之後，開始出現感染勒索病毒的情況。許多高知名度的網站，因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。報導指出網頁廣告成勒索軟體散播溫床，紐約時報、BBC、MSN 皆中招，文中指出”攻擊者透過廣告聯盟及軟體漏洞，透過大型網站如《紐約時報》、BBC 、MSN 等的廣告，藉此安裝勒索病毒。

趨勢科技建議：

若作業系統或是應用程式有提供修補程式或更新程式，應該要盡快更新，並使用防毒軟體，如此一來就能大幅度地減少威脅。