本文探討針對 Linux 平台的 DarkSide 勒索病毒變種,說明它如何攻擊 VMware ESXI 伺服器的虛擬機器 (VM) 相關檔案、讀取自己的組態設定,然後終止虛擬機器、將受感染電腦的檔案加密,並且將蒐集到的系統資訊傳送至遠端伺服器。
正如我們上一篇部落格指出,DarkSide 勒索病毒正瞄準美國、法國、比利時、加拿大等地的製造、金融、關鍵基礎建設等產業。DarkSide 勒索病毒可攻擊 Windows 和 Linux 平台。此外,我們也注意到其 Linux 變種專門攻擊 ESXI 伺服器。
延伸閱讀:
Darkside再挑釁!癱瘓美東輸油動脈後 又駭進3家企業勒贖
Kaseya在7月4日(美國國慶日)前夕遭受REvil(又名Sodinokibi)勒索病毒攻擊,驚動白宮。這次攻擊針對他們的本地端 VSA 產品。
| 惡名昭彰的駭客組織REvil,去年曾先後攻擊台灣多家知名企業,各勒索價值約5000萬美元的加密貨幣。 REvil 一貫的手法就是從受害企業內部竊取大量機敏性資料,並留下暗網地址,讓受害企業前往確認是否為內部資料,若不支付贖金將持續上傳企業機密資料並販售。 根據《美聯社》報導,REvil 之前就成功勒索全球最大肉品加工商JBS約1100萬美元(約新台幣3億400萬元),這次更要求支付相當7000萬美元(約新台幣19億5200萬元)的加密貨幣,就一次解開所有網路攻擊。 |
更新於美東時間 7 月 5日上午 01 時 48分:Dutch Security Hotline(DIVD CSIRT)已經確認 CVE-2021-30116是勒索攻擊所用的零時差漏洞之一。此 Kaseya 漏洞是在對系統管理工具進行的研究中所發現;在此事件發生前,Kaseya和 DIVD-CSIRT正在合作進行披露的工作。此外,關於 REvil 推動通用解密程式交易的報導也浮出水面。
Kaseya是一家為管理服務商(MSP)和IT公司提供IT管理軟體的公司,在7月4日(美國國慶日)前夕遭受到REvil(又名Sodinokibi)勒索病毒 Ransomware (勒索軟體/綁架病毒)的攻擊,該公司也發出了公告。
該公司稱此為針對其本地端VSA產品的「複雜網路攻擊」。該公司建議其所有客戶關閉其本地端VSA伺服器,直至進一步的通知。
作為保守的安全措施,Kaseya還決定在調查期間關閉其軟體即服務(SaaS)伺服器。
繼續閱讀最新報告指出美國是全球駭客集團鎖定的首要目標
【2021年7月1日,台北訊】全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天發布一份最新「2020 年 ICS 端點威脅報告」報告指出,專門瞄準工業廠房的勒索病毒攻擊正帶來日益升高的停機與機敏資料外洩風險。
請點選以下連結來取得這份完整報告「2020 年 ICS 端點威脅報告」:https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/2020-report-ics-endpoints-as-starting-points-for-threats。
趨勢科技前瞻威脅研究團隊資深經理 Ryan Flores 表示:「工業控制系統正面臨嚴重的資安挑戰,因為有太多安全上的漏洞,而駭客顯然也緊盯著這些漏洞。有鑑於美國政府目前已將勒索病毒攻擊視為與恐怖主義同樣嚴重的問題,我們希望透過這份研究來協助擁有工業廠房的企業重新調整其資安措施的焦點與人力。」
繼續閱讀聲譽良好、經營穩建、市值規模較大的,所謂藍籌企業(Blue-chip businesses )並非是近日唯一遭受勒索病毒重創的企業。其對業務連續性的威脅也可能對消費者造成連鎖反應,Colonial Pipeline的石油管道暫時關閉後出現的大量燃料囤積事件就證明了這一點;此外,當全球最大肉類生產商JBS的數家工廠停止生產以調查網路攻擊時,人們也都預期會出現肉類短缺。雖然兩者都迅速地恢復了營運,但並非全無代價。Colonial Pipeline一開始付給了DarkSide超過440 萬美元,其中有大部分可以在之後取回。而JBS則是決定支付REvil 1,100 萬美元以保護他們的客戶,即便他們已經自行恢復了大部分系統。本文裡概述了如何避免遭受網路犯罪份子洗劫的最佳實作和對策。
勒索病毒與大企業間的故事由來已久,眾所周知,惡意駭客會將目標放到財力雄厚的目標以求豐厚的回報:最近一連串針對企業的勒索病毒HYPERLINK “http://blog.trendmicro.com.tw/?p=12412” Ransomware (勒索軟體)攻擊突顯出網路勒索攻擊會如何造成大規模營運中斷並打亂全球的供應鏈。在今年五月,美國最大石油管道公司Colonial Pipeline被迫關閉部分系統以控制住網路犯罪集團DarkSide所造成的勒索病毒爆發 – 這次攻擊竊取了他們100 GB的資料。全球最大的牛肉供應商JBS也在幾週後遭遇REvil集團類似的攻擊,癱瘓了他們的電腦系統。
根據趨勢科技關於勒索病毒的最新報告,REvil和DarkSide都列在竊取和外洩網路資料量最大的勒索病毒榜單上,如圖1所示。
繼續閱讀這些工具原本是為了資安研究和其他正當用途而開發。但網路犯罪集團卻找到了方法將它們用於勒索病毒攻擊。到底有哪些工具以及它們如何變成武器的呢?
隨著勒索病毒 Ransomware (勒索軟體/綁架病毒)集團不斷擴充軍備,一些潛在的受害企業正面臨越來越高的風險,一旦遭到攻擊就可能帶來嚴重後果。當企業遭到勒索病毒攻擊,除了動輒損失數百萬美元之外,還會造成電腦系統無法使用,甚至導致機敏資料外洩。
近期的勒索病毒攻擊絕大多數都使用雙重勒索手法,一方面將企業的檔案加密,另一方面威脅要將這些資料公開。根據我們的資安預測報告指出,照這樣下去,勒索病毒威脅在 2021 年將更加惡化,因為它們將更具針對性,且會出現更多新的家族 (如 Egregor)。今年,網路犯罪集團將持續利用合法工具來輔助他們發動勒索病毒攻擊。
這些工具本身並非惡意程式,它們大多是為了協助資安研究人員或提高程式效率而開發。但就像許多其他技術一樣,網路犯罪集團就是有辦法找到不法用途,使它們最後成了勒索病毒攻擊、甚至是其他網路攻擊常見的幫兇。英國國家網路安全中心 (National Cyber Security Centre,簡稱 NCSC) 也在一份報告中列舉了這些工具。
網路犯罪集團之所以會在勒索病毒攻擊當中使用這些合法工具的原因有許多,其中之一就是因為這些工具原本就不是惡意程式,因此容易避開資安軟體的偵測。其次,它們大多屬於開放原始碼工具,因此一般大眾都能免費取得與使用。最後,這些工具的強大功能讓資安研究人員很方便,但對犯罪集團來說又何嘗不是,所以也因此讓這些工具成了雙面刃。
本文探討幾個經常遭歹徒利用的合法工具:Cobalt Strike、PsExec、Mimikatz、Process Hacker、AdFind 與 MegaSync。
繼續閱讀