安全主題

SamSam 預示了目標式攻擊勒索軟體的新趨勢

一款新的加密勒索軟體變種可能暗示它將使用加密其檔案的惡意程式轉而攻擊企業。

涉及勒索軟體的資安事端愈來愈多

美國聯邦調查局 (FBI) 聯合 US-CERT 與加拿大網路資安事端應變中心 (CCIRC) 發佈警告 ,稱涉及勒索軟體的資安事端愈來愈多。

 

在 2016 年 2 月, 賽門鐵克強調了 Locky 勒索軟體的增加,這是流通中比較盛行的一種勒索軟體變種。 過去幾個月,由於採用目標式方法感染系統,新變種 Samsam (也稱為 Samas 或 Samsa) 登上了報紙頭條。

網站安全

勒索軟體

目標式勒索軟體

勒索軟體感染系統的傳統方法是透過偷渡下載與惡意垃圾電子郵件散播的惡意下載程式。 使用者感染惡意下載程式之後,就會下載其他惡意程式,而這些惡意程式往往包含加密勒索軟體。 惡意電子郵件含有各種檔案附件,若是開啟這些附件,將下載與執行其中一種勒索軟體變種,以開始加密程序。 檔案被加密後,受害者就會被要求支付贖金,才能解密檔案。

Samsam 與較為傳統的勒索軟體不同,此程式不是透過偷渡下載或電子郵件傳送的。 相反,隱藏在 Samsam 背後的攻擊者使用  Jexboss  等工具來找出未更新修補程式且執行 Red Hat 的 JBoss 企業產品的伺服器。

攻擊者利用 JBoss 的漏洞成功進入其中一台伺服器後,將使用其他自由可用的工具與程序檔來蒐集憑證,並收集已連接網路的電腦之資訊。 然後他們會利用勒索軟體加密這些系統上的檔案,然後勒索贖金。

Samsam 勒索軟體也不同於其他勒索軟體,因為攻擊者會自行產生 RSA 金鑰組。 大部分的加密勒索軟體會連絡指令與控制伺服器,以產生 RSA 金鑰組,並發回公開金鑰,以便加密受感染電腦上的檔案。 攻擊者利用 Samsam 產生金組對並上傳公開金鑰與勒索軟體至目標電腦。

勒索軟體的持續創新

勒索軟體的變種正在不斷增加之中,Samsam 是其中一種,但是此程式的與眾不同之處是它能夠透過未更新修補程式的伺服器端軟體來接觸預期目標。 重點是,犯罪趨勢越來越嚴峻,他們在勒索攻擊中會直接鎖定企業。 近期的攻擊已大有斬獲,這表明網路罪犯改變了方式,因為他們想要透過攻擊脆弱的企業獲取最高的利潤。

事實證明,勒索軟體是一種可行的商業模式,難怪使用的技巧會從惡意垃圾郵件與偷渡下載變為更類似於目標式攻擊的方式。

JBoss 的版本

在其環境中部署了 JBoss 企業產品的企業應進行檢查,查看他們是否執行了未更新修補程式的版本,如果是,請立即修補。 根據 Red Hat, 以下版本的 JBoss 及更新版本 不受影響:

  • Red Hat JBoss Enterprise Application Platform (EAP) 5.0.1
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.3 CP08
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.2 CP09
  • Red Hat JBoss SOA-Platform (SOA-P) 5.0.1
  • Red Hat JBoss SOA-Platform (SOA-P) 4.3 CP03

 

防護方式
賽門鐵克及諾頓產品能夠利用以下偵測功能防止 Samsam 及其各種工具:

防毒:

 

立即測試您的網站安全性

Symantec CryptoReport

檢查您的 SSL/TLS 憑證安裝

立即測試
漏洞評估

漏洞評估

漏洞是潛在的入口,網站的功能或資料可能會經由這個入口受到破壞、下載或操縱。 典型的網站 (甚至是最簡單的部落格) 也有上千個潛在漏洞。

繼續閱讀

病毒、蠕蟲與特洛伊木馬程式的不同

病毒、蠕蟲與特洛伊木馬程式的不同

談及電腦病毒,人們最常犯的錯誤就是將蠕蟲或特洛伊木馬程式稱為病毒。

繼續閱讀

什麼是惡意程式、病毒、間諜程式與 Cookie?

什麼是惡意程式、病毒、間諜程式與 Cookie,他們有何差異?

當您從網際網路下載內容之前,務必先檢查。 

繼續閱讀

成功案例

Symantec Website Security 解決方案的真實使用案例

加入社群

加入 Symantec Connect 上的安全討論

SYMANTEC CONNECT

在 Twitter @ThreatIntel 上掌握威脅情報

SYMANTEC ON TWITTER

在 YouTube 頻道上收看 Symantec Website Security 的影片

SYMANTEC ON YOUTUBE

我們已經更新了我們的隱私政策,可以在這裡找到。