趨勢科技的偵測及回應託管式服務(managed detection and response,MDR)及事件回應團隊調查了兩起似乎是獨立事件的Ryuk勒索病毒攻擊。
勒索病毒 (勒索軟體/綁架病毒)儘管數量明顯地減少了,但仍持續使用多樣化的新技術持續造成威脅。一個明顯的例子是Ryuk勒索病毒(偵測為 Ransom_RYUK.THHBAAI),它在2018年12月造成美國幾家主流報紙運作中斷而惡名遠播。早先在2018年8月的Checkpoint分析指出,Ryuk專門被用在針對性攻擊,主要目標是受害者的重要資產。在12月攻擊事件前的幾個月,Ryuk攻擊了數間大企業來勒索價值超過60萬美元的比特幣。
趨勢科技的託管式偵測及回應(MDR)及事件回應團隊調查了兩起似乎是獨立事件的Ryuk攻擊。第一起經由以MikroTik路由器作為C&C伺服器的TrickBot營運商散播Ryuk,第二起則是攻擊者入侵管理員帳號來在網路內部散播Ryuk。加上2018年的事件,這些新攻擊可以看出惡意軟體背後黑手在擴大其範圍的強烈意圖。
案例1:利用被入侵的MikroTik路由器在組織內散播Ryuk和Trickbot
在第一起案例中,使用TrickBot的攻擊者透過Eternal Blue漏洞及收穫的帳密來進行橫向移動和散播Ryuk。
繼續閱讀