【支線任務】FIN8黑客集團擬似加入勒索軟件行列
過往主要攻擊 POS 系統,竊取企業儲存的客戶信用卡資料的黑客集團 FIN8,最近被網絡安全專家發現擬似加入了勒索軟件功能,其白兔 (White Rabbit) 勒索軟件借用其他集團的入侵方法,再運用雙重勒索手段逼受害企業交贖金。企業必須做好勒索軟件防禦工作,便可減少中招風險。
網絡安全專家 Michael Gillespie 上月在 twitter 貼文,說捕獲到一款首次現身的勒索軟件 White Rabbit。他當時指出,White Rabbit 在加密目標檔案後,會為每個檔案加上 .scrypt 延伸檔名,以及一個與檔案名稱相同的 txt 勒索指示文件,內裏會提供一個與黑客集團直接聯絡的 Tor 洋蔥網絡連結。而 Trend Micro 研究員亦在最新一份報告中,詳細從一個美國銀行客戶被攻擊事件中,分析 White Rabbit 的攻擊模式及擬似幕後黑客身份。
研究員解釋,White Rabbit 的下載執行程序只是一個 100kb 的加密檔案,需要指定密碼才能解開,令傳統的網絡安全工具無法偵測內藏的惡意編碼,增加入侵的成功率,而在勒索軟件成功著陸後,它便會掃描 Windows 電腦內的檔案,以及網絡上其他電腦設備,然後對指定檔案類型進行加密。研究員說這種攻擊手法並非首創,其他勒索軟件集團如 Egregor、MegaCortex 早已使用相關避險手法;另外,收取解密費及防止被盜資料曝光的雙重勒索手段亦是現時同類型攻擊的慣常手法,因此單憑這些資料難以找出幕後黑手。
不過,研究員在分析過程中發現 White Rabbit 使用了一款木馬程式 Badhatch,這款工具的版本雖然全新,但它是黑客集團 FIN8 專用的後門入侵工具,一般很少會外放給其他犯罪集團使用,因此研究員認為幕後黑手即使並非 FIN8,也一定與這集團有密切關聯。而要防範 White Rabbit 攻擊,研究員認為只須採取一般的勒索軟件防護政策,即是定期備份及做好回復備份測試、安裝多層安全偵測及回應工具、預先制定勒索軟件應對劇本,以及完整審視系統有否漏洞等。
相關文章:
【戰爭武器!?】專家警告 Ransomware 破壞力不斷提升:https://www.wepro180.com/20210104_ransomware/
