小心了,新版Thanos勒索軟體服務採用了可繞過大多數防毒軟體的RIPlace技術
資安業者Nyotron在去年11月揭露了可供勒索軟體繞過安全偵測機制的RIPlace技術,當時尚未有任何勒索軟體採用該技術,不過,另一資安業者Recorded Future最近發現,新版的Thanos勒索軟體已經加入了RIPlace技術,還把它納入「企業版」功能中。
Nyotron解釋,勒索軟體的攻擊有三個標準步驟,先開啟及讀取原始檔案,再於記憶體中加密檔案,繼之破壞原始檔案。而破壞原始檔案的方法有3種,把加密檔案寫進原始檔案中;或是直接將加密檔案存入硬碟,再利用DeleteFile功能刪除原始檔案;也能選擇把原始檔案存入硬碟,再透過Rename功能置換原始檔案,幾乎所有駭客都採用前面兩種,而第三種則屬於Windows作業系統的設計漏洞,尚未被駭客利用,但只需要兩行程式就能開採,並將它命名為RIPlace技術。
當時Nyotron還公布了RIPlace的概念性驗證攻擊程式,而且測試了坊間號稱可偵測勒索軟體的十多種防毒工具,發現它們全都無法逮到透過RIPlace技術所執行的攻擊行動。
而Recorded Future則發現,外號為Nosophoros的駭客今年1月在地下論壇中兜售的Thanos勒索軟體,便採用了RIPlace技術,很可能是市場上第一個採用RIPlace的勒索軟體。
駭客將Thanos定位為勒索軟體產生器,具備43種配置選項,還提供只訂閱一個月的輕量版(Light),以及可訂閱整個Thanos生命周期的企業版(Company),而進階的RootKit、RIPlace或是在目標組織中橫向移動的功能,都只出現在企業版中。
Recorded Future預期,勒索軟體即服務(ransomware-as-a-service)的市場將會繼續茁壯,且訂閱輕量版的用戶都能成為Thanos會員,而Thanos的企業客戶,則能建立自己的勒索軟體即服務業務。
勒索病毒全球橫行!資安專家建議企業這麼做避免受害
近幾個月來,包括Maze、WannaRen在內的多個勒索病毒肆虐,在美國、日本、台灣、中國等地造成災情。資安專家表示,此種病毒從早年的亂槍打鳥到近年來越來越有針對性,企業除了要建立對外的防護網外,對內也要有清楚的監控與回應機制,並為旗下每位員工建立良好的資安認知,才能將風險降到最低。
勒索病毒雖然已行之有年,但這幾個月受到疫情影響,人人在家上班,企業開放遠距工作,網路用量大增,帶給駭客更多可趁之機。
總部位於美國的航太服務供應商VT San Antonio Aerospace(VT SAA),本月5日在官網上坦承受到勒索軟體駭客集團「Maze」的攻擊。Maze還在網上公布了VT SAA逾百份文件,包括財報、網路保險契約及提案等,證實該公司所言不假。
日本汽車製造商本田(Honda)本月8日上午也在推特表示,客戶服務和金融服務遇到難題,無法使用,正在努力解決。日本《NHK》報導,該公司的系統失靈,檢查車輛的系統停止運作,員工無法傳送電子郵件,甚至沒辦法打開辦公室由電子控制的門,導致許多辦公室暫時關閉,連帶位於美國、土耳其、印度的工廠都暫時停擺。資安專家認為,原因出在本田的伺服器遭到勒索軟體「Ekans」感染。
中國4月初也一度傳出災情,許多中國網友在百度貼吧、知乎等論壇上發文求救,說電腦中了勒索病毒「WannaRen」,隨後在微博上出現多篇關於新勒索病毒的報導,指該病毒會感染作業系統為Windows 10 、Windows 7和XP的電腦,將裡面的檔案加密,並利用資源進行挖礦,同時向外感染其他電腦,堪稱將受害者的電腦利用到極致。
而在台灣,本月7日,自動化設備廠盟立在證券交易所公開資訊觀測站上發布公告,表示公司的資訊管理系統遭到勒索軟體攻擊,導致資料庫無法正常存取,已啟動備援作業並逐漸復原,機密資料未遭受波及。
另外,資安公司趨勢科技也表示,5月初起,有一種名為「ColdLock」的勒索病毒開始針對數家台灣企業進行攻擊,專門對資料庫和郵件伺服器進行加密。該病毒有一項特點,就是會檢查系統時鐘,然後在特定時間開始運作。
趨勢指出,過去勒索病毒多採亂槍打鳥的方式,誰感染誰倒楣,但自2018年下半年開始,逐漸發展出專為攻擊對象量身打造的新興攻擊手法,即為結合APT攻擊與勒索病毒的「目標式勒索病毒攻擊」(Targeted Ransomware Attack)。
專家建議,企業對外的網路閘道端應建立防護網,對內也要有相應的監控機制,能夠快速偵測、回應威脅,並在駭客攻擊前就先行反應與阻擋,同時回頭檢視問題,把公司內部可能的資安弱點補足。
微軟也提出四大應變建議「檢測、隔離、解決、重建」,依序為檢測受攻擊的端點和憑證、隔離被駭區域、解決網際網路漏洞和重建受到惡意軟體感染的裝置。公司也該為旗下員工建構數位同理心,不論身份與工作環境,皆應具備應有的資安與數位防護認知。
像是安裝電腦防毒軟體、只透過官方網站等可靠的來源下載軟體、不隨便點擊不明連結、隨時備份重要資料等,都是每個人該有的基本資安知識。
