本文探討針對 Linux 平台的 DarkSide 勒索病毒變種,說明它如何攻擊 VMware ESXI 伺服器的虛擬機器 (VM) 相關檔案、讀取自己的組態設定,然後終止虛擬機器、將受感染電腦的檔案加密,並且將蒐集到的系統資訊傳送至遠端伺服器。
正如我們上一篇部落格指出,DarkSide 勒索病毒正瞄準美國、法國、比利時、加拿大等地的製造、金融、關鍵基礎建設等產業。DarkSide 勒索病毒可攻擊 Windows 和 Linux 平台。此外,我們也注意到其 Linux 變種專門攻擊 ESXI 伺服器。
🔻延伸閱讀:
Darkside再挑釁!癱瘓美東輸油動脈後 又駭進3家企業勒贖
Kaseya在7月4日(美國國慶日)前夕遭受REvil(又名Sodinokibi)勒索病毒攻擊,驚動白宮。這次攻擊針對他們的本地端 VSA 產品。
| 惡名昭彰的駭客組織REvil,去年曾先後攻擊台灣多家知名企業,各勒索價值約5000萬美元的加密貨幣。 REvil 一貫的手法就是從受害企業內部竊取大量機敏性資料,並留下暗網地址,讓受害企業前往確認是否為內部資料,若不支付贖金將持續上傳企業機密資料並販售。 根據《美聯社》報導,REvil 之前就成功勒索全球最大肉品加工商JBS約1100萬美元(約新台幣3億400萬元),這次更要求支付相當7000萬美元(約新台幣19億5200萬元)的加密貨幣,就一次解開所有網路攻擊。 |
更新於美東時間 7 月 5日上午 01 時 48分:Dutch Security Hotline(DIVD CSIRT)已經確認 CVE-2021-30116是勒索攻擊所用的零時差漏洞之一。此 Kaseya 漏洞是在對系統管理工具進行的研究中所發現;在此事件發生前,Kaseya和 DIVD-CSIRT正在合作進行披露的工作。此外,關於 REvil 推動通用解密程式交易的報導也浮出水面。
Kaseya是一家為管理服務商(MSP)和IT公司提供IT管理軟體的公司,在7月4日(美國國慶日)前夕遭受到REvil(又名Sodinokibi)勒索病毒 Ransomware (勒索軟體/綁架病毒)的攻擊,該公司也發出了公告。
該公司稱此為針對其本地端VSA產品的「複雜網路攻擊」。該公司建議其所有客戶關閉其本地端VSA伺服器,直至進一步的通知。
作為保守的安全措施,Kaseya還決定在調查期間關閉其軟體即服務(SaaS)伺服器。
繼續閱讀惡意廣告也可能避開一般廣告投放的審查機制,出現於社群網站、新聞網站等任何人都會查看的網站。我們不該只覺得自己「不看可疑的網站就好了」,而應了解到,只要使用網路,任何人都可能遇上惡意廣告。
惡意廣告大致分成兩種,分別是「欺騙型廣告」與「安全漏洞型廣告」。不小心點選了這些廣告可能會連結至詐騙網站或冒牌網站,也可能感染電腦/手機病毒等惡意軟體。
網路犯罪者引導網路使用者至惡意網站的手法層出不窮,惡意廣告就是其中之一。我們接下來將介紹5種防範惡意廣告的對策,告訴您如何擺脫可疑的彈出式廣告。
有很多網路服務和應用程式,例如社群網站、新聞網站、影片串流網站或遊戲等,都要透過廣告收入才能營運下去,因此我們使用網路的大部分時間都會看到廣告。但是,其中也混雜著想將使用者引導至惡意網站的惡意廣告,必須特別小心。
大部分人可能會認為,只有成人網站等特定網站才會出現惡意廣告,然而惡意廣告也可能避開一般廣告投放的審查機制,出現於社群網站、新聞網站等任何人都會查看的網站。我們不該只覺得自己「不看可疑的網站就好了」,而應了解到,只要是網路使用者,任何人都可能遇上惡意廣告。
惡意廣告大致分成兩種,分別是「欺騙型廣告」與「安全漏洞型廣告」,接下來將介紹這兩種廣告的手法及案例。
繼續閱讀
談到資料中心 (Datacenter) 實體安全,或許會讓人聯想到人工陷阱、消防安全門、門鎖、散熱與冷卻系統,很少人會想到資料中心實體安全也需要備援設計。
然而,位於法國史特拉斯堡 (Strasbourg) 的 OVHCloud 資料中心大火,讓這樣的需求活生生地浮上檯面。OVHCloud 資料中心是許許多多企業機構的應用程式、營運環境、基礎架構以及傳統主機共置機房的所在地。今年三月初的一場大火,導致數百萬個網站無法使用,一些政府機構、銀行、商店、新聞媒體的網站都頓時停擺,「.FR」網域幾乎癱瘓了一大半。詳情請參閱:http://travaux.ovh.net/。
大家都看過火災對實體安全的危害,但這卻並非唯一的威脅。電力的問題,例如突波或是我們對備用發電機的依賴性,才是最常見的實體風險。此外,氣候問題也是,例如洪水和暴風雨。一般來說,火災的風險並不大,因為這些設施都設有自動消防系統。大多數時候,這些實體風險都能獲得隔離及控制,不會造成資料中心完全損毀,但視情況而定,有時消防計畫也可能失敗。
繼續閱讀各式假冒 Netflix 等串流影音平台的釣魚詐騙手法紛紛出籠。趨勢科技指出,不肖份子偽裝成 Netflix 官方通知,透過簡訊或電子郵件發送訊息,宣稱 Netflix 綁定帳號的付款方式已變更或失效,例如「您的訂閱將結束,請更新付款方式」或是「付費方式有問題,已先暫時保留您的帳號」等訊息,企圖誘導使用者進入釣魚網站,藉機盜取使用者所輸入的帳號及信用卡等重要個資。
提醒您別遇到這樣掃興的事:
2016 年台灣傳出第一隻因追劇而中的勒索病毒 CERBER ,時間點是在連假期間,有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了惡名昭彰的 Cerber勒索軟體 Ransomware,並被要求支付約台幣1.7 萬的比特幣(Bitcoin)才可解鎖,更慘的是用公司的電腦 !
有粉絲在趨勢科技粉絲頁留言:“最近我同事只是追劇而已就中招,整個電腦資料全毀….”
根據趨勢科技統計駭客總在長假加班覬覦網友的檔案和個資,今年台灣三級警戒延長,民眾齊心宅在家防疫,許多人選擇上網追劇消磨時間,然而一不注意,恐怕就會點擊到惡意連結,將個資雙手奉上給駭客!據全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 統計,光是今年上半年,已為台灣攔截高達1,470萬筆惡意網址註一,而自中央流行疫情指揮中心宣布進入全國第三級防疫警戒後,趨勢科技防詐達人偵測到的盜版影音網站連結更是激增21倍註二,提醒民眾宅家追劇放鬆之餘,務必多加留意,重視資安把關!
疫情期間民眾減少外出活動,居家休閒娛樂需求大增,各式假冒 Netflix 等串流影音平台的釣魚詐騙手法紛紛出籠。趨勢科技指出,不肖份子會偽裝成 Netflix 官方通知,透過簡訊或電子郵件發送訊息,宣稱 Netflix 綁定帳號的付款方式已變更或失效,例如「您的訂閱將結束,請更新付款方式」或是「付費方式有問題,已先暫時保留您的帳號」等訊息,企圖誘導使用者進入釣魚網站,藉機盜取使用者所輸入的帳號及信用卡等重要個資。
繼續閱讀