公司機密客戶資料外洩成隱憂! 慘遭駭客求支付贖金 如何有本事不給錢?

根據國外知名資安網站Bleeping Computer於台灣時間12月8日報導，全球最大的電子製造業者台灣鴻海（Foxconn）於墨西哥華雷斯城（Ciudad Juárez）CTBG工廠，在11月29日感恩節周末遭到DoppelPaymer勒索軟體攻擊加密並要求支付贖金價值約3400萬美元(1804.0955枚比特幣贖金)。

下圖為遭攻擊發生後Foxconn CTBG的官網已呈現HTTP 404的錯誤狀態。駭客在加密系統檔案之前先下載了檔案，並在12月7日於其資料外洩網站公布了部份的資料。

DoppelPaymer 承認入侵鴻海

Bleeping Computer甚至直接與駭客DoppelPaymer 取得了聯繫，他們於 11 月 29 日攻擊了鴻海工廠，並竊取了北美（NA）地區的資料，並刪除了 30 TB 的資料。

該駭客說道：

我們加密了大約是 1,200 ~1,400 台伺服器，竊取了100GB的檔案… 也刪除了他們大約 20~30 TB 備份資料。

此外，來自資安人士消息來源亦與分享了駭客於鴻海伺服器上留下的勒索信件，要求鴻海支付贖金以換得解密金鑰及所下載的備份資料。

最近臺灣大型製造商相繼淪為勒索軟體的受害者，從仁寶、研華到鴻海，其中，仁寶直接否認遭到勒索軟體攻擊，而研華則未揭露被駭事件是否涉及勒索軟體。

企業資安問題明顯成隱憂 捕夢網幫您解決!  

捕夢網Deep Security

捕夢網Data Safe 防勒索 保護資料

捕夢網Sophos端點保護

文章參考處

https://www.bleepingcomputer.com/news/security/foxconn-electronics-giant-hit-by-ransomware-34-million-ransom/

https://www.ithome.com.tw/news/141517

https://www.blocktempo.com/foxconn-hacked-asking-1804btc-as-ransome/

The post 鴻海Foxconn墨西哥廠房遭勒索軟體攻擊! 1400臺伺服器被加密 first appeared on 捕夢網 Blog.

更新時間：2017 年 5 月 15 日格林威治標準時間 23:24:21：

賽門鐵克已發現兩個可能的連結與 WannaCry 勒索軟體攻擊及 Lazarus 駭客集團有些關聯：

• 已知的 Lazarus 工具與 WannaCry 勒索軟體同時發生：賽門鐵克在已感染早期版本 WannaCry 的電腦上，發現 Lazarus 獨家使用的工具。這些早期版本的 WannaCry 不具備透過 SMB 散播的能力。Lazarus 工具可能已被用來做為散播 WannaCry 的方法，但尚未證實。
• 共用的程式碼：Google 的 Neel Mehta 在發佈的推文中表示，已知的 Lazarus 工具與 WannaCry 勒索軟體兩者有共用的程式碼。賽門鐵克判斷此共用的程式碼是 SSL 的形式。此 SSL 實作使用特定序列的 75 個密碼，目前為止只有在 Lazarus 工具 (包括 Contopee 與 Brambul) 以及 WannaCry 版本上發現過這段密碼。

雖然上述發現並不表示 Lazarus 與 WannaCry 之間有明確的關聯，當我們認為其相關性有必要進一步調查。如有任何進展，我們將持續分享研究結果。

自 5 月 12 日週五起，一種名為 WannaCry (Ransom.Wannacry) 的新種強烈病毒已襲擊全球數十萬部電腦。WannaCry 比其他常見的勒索軟體類型更加危險，因為它可藉由入侵已安裝微軟 2017 年 3 月修補程式 (MS17-010) 的電腦，將病毒散播至企業組織內部的網路。在四月由名為 Shadow Brokers 的集團進行一連串的資料外洩中，最新一波的釋出資料包含上述名為「Eternal Blue」的安全漏洞，該集團宣稱他們已從 Equation 網路間諜集團竊取資料。

我是否已受到保護以避免遭受 WannaCry 勒索軟體攻擊？

透過結合多項技術，可自動保護免於遭受 WannaCry 病毒的攻擊。

主動保護由以下技術提供：

• IPS 網路保護
• SONAR 行為偵測技術
• 先進機器學習
• 智慧威脅雲端

網路保護
賽門鐵克具備以下 IPS 保護以封鎖嘗試利用 MS17-010 安全漏洞進行的入侵行為：

• 作業系統攻擊：Microsoft SMB MS17-010 入侵嘗試 (2017 年 5 月 2 日發佈)
• 攻擊：Shellcode 下載活動 (2017 年 4 月 24 日發佈)

SONAR 行為偵測技術

• SONAR.AM.E.!g18
• SONAR.AM.E!g11
• SONAR.Cryptlk!g1
• SONAR.Cryptlocker!g59
• SONAR.Cryptlocker!g60
• SONAR.Cryptlocker!g80
• SONAR.Heuristic.159
• SONAR.Heur.Dropper
• SONAR.Heur.RGC!g151
• SONAR.Heur.RGC.CM!g13
• SONAR.Heuristic.158
• SONAR.Heuristic.161
• SONAR.SuspDataRun
• SONAR.SuspLaunch!g11
• SONAR.SuspLaunch!gen4
• SONAR.TCP!gen1

Sapient 機器學習

• Heur.AdvML.A
• Heur.AdvML.B
• Heur.AdvML.D

防毒

為擴大保護與識別的目的，已更新以下防毒識別碼：

• Ransom.Wannacry
• Ransom.CryptXXX
• Trojan.Gen.8!Cloud
• Trojan.Gen.2
• Ransom.Wannacry!gen1
• Ransom.Wannacry!gen2
• Ransom.Wannacry!gen3

客戶應執行 LiveUpdate 並檢查是否已安裝以下定義版本或更新的版本，以確保擁有最新的保護：

• 20170512.009

以下 IPS 識別碼亦可封鎖與 Ransom.Wannacry 相關的活動：

• 系統感染：Ransom.Ransom32 Activity

企業組織亦必須確定已安裝最新的 Windows 安全更新以避免病毒擴散，特別是 MS17-010。

什麼是 WannaCry 勒索軟體？

WannaCry 會搜尋並加密 176 種檔案類型，然後在檔案結尾加上 .WCRY。它要求使用者支付相當於 $300 美元的比特幣贖金。勒索說明表示，贖款金額在三天後將加倍。若未在 7 天內支付贖金，將會刪除已加密的檔案。

我能夠恢復被加密的檔案嗎？或者我應該支付贖金？

目前尚無法將加密檔案解密。如果被感染的檔案有備份，您可以還原這些檔案。賽門鐵克不建議支付贖金。

在某些情況下，沒有備份也能恢復檔案。儲存於桌面、我的文件或遠端磁碟機上的檔案將被加密，原始檔案將被抹除。這是無法恢復的。儲存於電腦上的其他檔案將被加密，而原始檔案將直接被刪除。這表示可以使用取消刪除的工具恢復這些檔案。

WannaCry 是何時出現的？其散播速度有多快？

WannaCry 於 5 月 12 日週五首次出現。賽門鐵克觀察到從格林威治標準時間 8 點開始，WannaCry 嘗試利用 Windows 安全漏洞進行入侵的次數快速增加。賽門鐵克封鎖的嘗試入侵次數在週六日稍微下降，但仍相當高。

圖 1. 賽門鐵克每小時封鎖 WannaCry 嘗試利用 Windows 安全漏洞入侵的次數

圖 2. 賽門鐵克每天封鎖 WannaCry 嘗試利用 Windows 安全漏洞入侵的次數

圖 3. 熱圖顯示賽門鐵克偵測到的 WannaCry，5 月 11 日至 5 月 15 日

誰會受到影響？

任何未更新的 Windows 電腦都有可能遭到 WannaCry 的攻擊。企業組織的風險特別高，因為它能透過網路散播，而且全球已有多家企業組織遭到感染，其中大多位於歐洲。但是，個人也可能受到感染。

這是鎖定目標的攻擊嗎？

不是，目前認為它並非鎖定目標的攻擊。勒索軟體活動通常是不分對象的。

為何它對企業組織造成如此多的問題？

WannaCry 利用已知的 Microsoft Windows 安全漏洞，無需使用者介入即可透過企業網路進行散播。未更新 Windows 最新安全修補程式的電腦皆有感染的風險。

WannaCry 如何散播？

雖然 WannaCry 可藉由入侵安全漏洞而在企業組織內部網路上散播，但是一開始的感染方式，也就是企業組織中第一台電腦遭到感染的方式，仍未確定。賽門鐵克已發現多起 WannaCry 存放於惡意網站上的案例，但這顯然是模仿的攻擊行為，與原始攻擊事件無關。

是否已有許多人支付贖金？

分析攻擊者提供的三個支付贖金用的比特幣位址後顯示，在撰寫本文時，已有 207 筆獨立交易，總計支付 31.21 比特幣 (53,845 美元)。

保護免受勒索軟體的最佳實踐方式是什麼？

• 新的變種勒索會不定期出現。始終保持安全軟體是最新的，以保護自己免受危害。
• 保持操作系統和其他軟體更新。軟體更新經常包括可能被勒索攻擊者利用新發現的安全漏洞補丁。這些漏洞可能被勒索攻擊者利用。
• 賽門鐵克發現,電子郵件是主要傳染方式之一。特別留意不預期的電子郵件，尤其是email中包含的連結和/或附件。
• 使用者需要特別謹慎對待那些建議啟用巨集以查看附件的Microsoft Office子郵件。除非對來源有絕對的把握,否則請立即刪除來源不明的電子郵件,並且務必不要啟動巨集功能。
• 備份重要數據是打擊勒索攻擊最有效方法。攻擊者通過加密有價值的文件並使其無法使用，從而向被害者勒索。如果被勒索者有備份副本，一旦感染被清理乾淨，我們就可以恢復文件。但是，企業組織應該確保備份被適當地保護或存儲在離線狀態，以便攻擊者不能刪除它們。
• 使用雲端服務可以減輕勒索病毒的影響，因為受害者可以透過雲端備份，取回未加密的文件。

文章來源: https://goo.gl/dDfEMb

圖片來源: 

The post WannaCry 勒索病毒預警 first appeared on 捕夢網 Blog.

勒索病毒過去半年變種數量超過過去兩年

除了要瞭解勒索病毒加密以外的策略和技術外，了解它們如何進入環境也相同的重要。趨勢科技最近的分析顯示大多數勒索病毒 Ransomware (勒索軟體/綁架病毒)家族可以在暴露層（exposure layer）加以阻止 – 網頁和電子郵件，事實上，從2016年1月到5月，趨勢科技已經封鎖66,00萬多次勒索病毒相關的垃圾郵件(SPAM)、惡意網址和威脅。

有越來越多網路犯罪分子利用勒索病毒作為武器，因為其有利可圖；僅在過去的六個月，就有超過50個新家族出現，而2014到2015年加起來也只有49個。在最近幾年，讓勒索病毒成功的一個重要因素是其勒索的技巧，主要是利用目標對失去自己電腦掌控的恐懼，網路犯罪分子不斷發展他們的技術 – 從簡單的鎖定使用者螢幕、假造聯邦執法單位警告，到實際去動到資料。

許多關於勒索病毒 Ransomware 討論集中在檔案部分，但往往忽略了散播機制，主要是因為沒有創新性，勒索病毒的幕後黑手只是利用萬無一失的電子郵件和網頁策略，雖然簡單，但這些策略大多會讓使用者不易察覺，且這樣的策略可以繞過傳統的安全解決方案。

在本篇文章中，我們會仔細檢視勒索病毒常用的攻擊媒介，以及我們如何在它們抵達之前減少其造成的風險。

並不創新的垃圾郵件做法:社交工程

讓我們來看看勒索病毒所用的垃圾郵件策略及它如何能夠躲過垃圾郵件過濾程式。在一般情況下，勒索病毒相關的垃圾郵件包含惡意附件檔，可能是巨集、JavaScript等形式，這些是下載真正勒索病毒的下載程式。一個例子是CryptoLocker，它有惡意附件檔（通常是UPATRE變種）會下載ZeuS / ZBOT，這個資料竊取惡意軟體接著會下載並在系統執行CryptoLocker。

但網路犯罪分子並非就此停住。有些加密勒索家族會加上另外一層 – 巨集，一種用來繞過沙箱技術的老策略，會要求使用者手動啟用內嵌在惡意附件文件內的巨集來感染系統，在這裡，社交工程social engineering誘餌和對人心的了解起了關鍵的作用。Locky加密勒索病毒是充分利用惡意巨集附件檔的知名例子，甚至會利用表格物件（也在巨集中發現）來隱藏惡意程式碼，這個勒索病毒在2月攻擊了好萊塢長老教會醫療中心，根據報導，Locky在5月底至6月初沉寂一陣子後又再度出現。

圖1、Locky相關垃圾郵件

趨勢科技也觀察到JavaScript附件檔會自動下載勒索病毒變種如XORBAT、ZIPPY、TeslaCrypt 4.0、CryptoWall 3.0和Locky；另一個腳本語言VBScript也被網路惡意分子用來散播Locky及CERBER，除了混淆技術外，使用腳本作為附件也有可能躲過掃描程式。

圖2、CryptoWall 3.0相關JS檔案的混淆過程式碼

勒索病毒常見網路釣魚郵件主旨

勒索病毒幕後的網路犯罪分子所用的電子郵件主旨都很普通，我們看過會偽裝成履歷、發票、出貨通知和帳號終止通知等，此外，也有些會假冒成來自合法來源。

圖3、某些勒索病毒家族如TorrentLocker所用的典型主旨

圖4、TorrentLocker相關垃圾郵件範例

TorrentLocker一直在澳洲和歐洲困擾著使用者和企業，尤其是利用垃圾郵件攻擊活動，此一區域性威脅並非使用典型的主旨，而是針對內容量身打造，從所使用的語言到假冒的寄件者都是根據目標對象所在的國家制定。例如在澳洲，垃圾郵件會假冒成來自澳洲聯邦警察、澳洲郵局或其他本地公司，有趣的是，這些垃圾郵件只會寄送給合法的電子郵件帳戶以躲過反垃圾郵件偵測，也就是說，如果垃圾郵件使用義大利公司名稱，就只會送給義大利使用者。

CryptoWall偏好早上5點到9點間發釣魚信； TorrentLocker喜歡在下午1點到7點間發信

攻擊者要發送垃圾郵件給組織和中小企業也會選擇有效率的時間。例如，CryptoWall會在早上5點到9點間抵達使用者信箱；而TorrentLocker相關電子郵件會在周間的下午1點到7點間送出，會符合目標對象的工作時間。最後，並非一次寄送大量垃圾郵件來淹沒信箱，網路犯罪分子會最佳化送信時間，在一天內分多次小量寄送，這樣一來，傳統垃圾郵件過濾程式就不會將此當作可疑活動。

發垃圾信不用殭屍網路改用被駭郵件伺服器

在過去，趨勢科技注意到攻擊者停止使用「Botnet傀儡殭屍網路」發送垃圾郵件而選擇使用被駭的郵件伺服器。魚叉式網路釣魚 (Spear Phishing )防護解決方案可以防護電子郵件閘道，因為能夠透過封鎖已知惡意寄件者和內容來解決上述的垃圾郵件攻擊，因此，它不會進入使用者的收件夾，也就不會被勒索病毒感染系統。

使用新聞網站,雲端服務等合法網站散播

勒索病毒也被放在惡意網址或被駭網站上，合法的網頁伺服器也可能受駭而將使用者系統導到惡意網站，雖然這並非新手法也並不令人驚奇，受駭網站仍是避免網路封鎖技術的有效作法。

在一起事件中，攻擊者入侵新聞網站的部落格網頁，The Independent在2015年12月散播了TeslaCrypt 2.0，瀏覽該部落格網頁的使用者會遭遇到一連串的重新導向動作，包括放有Angler漏洞攻擊套件的網站，如果系統上有此Adobe Flash Player漏洞（CVE-2015-7645），就會感染此一勒索病毒。

除了入侵網站外，網路惡意分子也會濫用合法服務來代管他們的惡意檔案。一個例子是PETYA，利用了雲端儲存網站Dropbox，技術上來講，它仍然是透過垃圾郵件抵達，內含應該連到履歷文件的Dropbox網址，但實際上是惡意軟體。

設定惡意等網域存活期間僅一小時,避免被封鎖

TorrentLocker會利用驗證碼機制（CAPTCHA）來避免登錄網頁被封鎖、「Drive by download」路過式下載偵測或自動化偵測。之前，網路犯罪分子在登記DNS紀錄時會設定短存留時間（TTL），這意味著相關聯的惡意網域只會在短時間內（約1小時）活著並可存取，這當然會造成封鎖勒索病毒相關網址的困難，另一方面，也會將TOR 洋蔥路由器用在匿名目的上。

瀏覽網路惡意廣告就中招

漏洞攻擊套件經由惡意廣告來散播許多勒索病毒家族。當使用者瀏覽任何有惡意廣告的網站時，未經修補的系統就有可能面臨各種感染威脅，包括了勒索病毒。

在下表中是各種漏洞攻擊套件所散播的不同勒索病毒家族：

今年，我們看到Angler漏洞攻擊套件會派送TeslaCrypt，但當其首腦在4月決定關閉運作，Angler開始散播CryptXXX。說到停止活動，去年最活躍漏洞攻擊套件Angler的運作看來要走上末路了，一些報導認為這是因為Angler的背後攻擊者可能會遭受逮捕。

實際上，有些網路惡意分子正使用其他的漏洞攻擊套件，如Neutrino和Rig。就像 CryptXXX和Locky勒索病毒就正透過Neutrino與Nuclear漏洞攻擊套件派送。

保持系統更新在最新狀態可以防止漏洞攻擊套件和惡意廣告所散播的任何威脅，在這一點上，具備強大網頁信譽評比服務及漏洞防護屏蔽技術的解決方案可以有效地封鎖惡意網址和保護系統免於漏洞攻擊。

趨勢科技的解決方案如何保護網路邊界？

對抗勒索病毒來保護網路和珍貴資料的最好辦法是在進入點加以解決，一旦它到達端點，都難免會需要辛苦地回復檔案或重新取回系統的控制權。當這些威脅在網路內散播並感染其他系統甚至是伺服器時就更加危險了，有鑑於勒索病毒的本質，使用傳統防毒解決方案已經不再足夠。因此，我們主張組織和中小企業必須使用多層次防禦。

圖5、對抗勒索病毒的多層次防禦

趨勢科技提供的解決方案能夠在暴露層（exposure layer）或閘道阻止勒索病毒。企業可以利用趨勢科技的Deep Discovery Email Inspector來封鎖和偵測勒索病毒相關電子郵件，包括惡意附件檔。其客製化沙箱技術也可以偵測勒索病毒變種，包括使用巨集的惡意軟體。在此解決方案內的IP和網頁信譽評比技術也能夠在暴露層（exposure layer）來封鎖已知電子網址和寄件者。

我們強大的端點解決方案，趨勢科技 Smart Protection Suite 可以透過行為監控、應用程式控制和漏洞防護來發現並阻止惡意行為和活動進行。我們的防勒索病毒功能可以主動偵測和封鎖勒索病毒執行。也因此不會讓檔案被加密，威脅也不會擴散至網路內的其他系統或進入伺服器。

關於網路防護，趨勢科技的Deep Discovery Inspector可以透過惡意軟體沙箱和網路掃描功能來偵測和封鎖網路上的勒索病毒。此外，我們的產品也可以防止橫向移動到網路的其他部分。趨勢科技Deep Security可以阻止勒索病毒進入企業伺服器 – 無論是實體、虛擬或位在雲端。它保護系統和伺服器不被漏洞攻擊套件利用弱點來派送勒索病毒。

對於中小企業，Worry-Free Pro透過Hosted Email Security來提供基於雲端的電子郵件閘道安全防護。它的端點防護也提供了如行為監控和即時網頁信譽評比技術等多項功能來偵測和封鎖勒索病毒。

使用者也可以利用我們的免費工具，如趨勢科技的螢幕鎖定勒索病毒移除工具，可以用來偵測和移除螢幕鎖定勒索病毒；還有趨勢科技加密勒索病毒檔案解密工具，可以解密特定加密勒索病毒所加密的檔案而無須支付贖金或使用解密金鑰。

文章來源:http://blog.trendmicro.com.tw/?p=21912

圖片來源:https://pixabay.com/

The post 勒索病毒的攻擊媒介了無新意,為何能繞過傳統的安全解決方案? first appeared on 捕夢網 Blog.