勒索軟體的另類售後服務,付贖金後,REvil詳述如何入侵!

根據Malwarebytes 的資安分析師Mr. Rivero取得的被駭公司(以下稱U公司)與REvil的缐上對話,由於該公司已付贖金,REvil釋出解密工具,U公司可直到7月11日截止時間前享有免費解密工具的使用權,一般來說,就算付了贖金給勒索軟體的駭客團體,他們釋出的解密工具是有時效性的,通常在䆁出的當天至往後的3-4個禮拜有效。如果沒有在時效內完成解密,駭客也不會再延長或給與新的解密功具。

在下圖的案例, 由於U公司的員工在收信過程不慎點擊了帶有惡意病毒的檔案使駭客有機可乘,把病毒payload安裝到受感染的電腦,之後REvil使用工具掃描電腦和所有用戶授權的數據,這授權數據正可用於遠端存取U公司網路。

Photo Credit : Mr. Rivero from Malwarebytes

REvil表示在掃描網路時,發現一個帶有遠端程式碼執行(RCE)弱點的伺服器,並進一步以該RCE來執行payload並收集對伺服器的所有存取權限。接下來,REvil以安全工具從伺服器中轉儲所有可能的密碼,並使用這些密碼收集對其他網路的存取,直到存取網域控制器。REvil植入木馬程式以鍵盤側錄方法式,存取和操控整個 IT 基礎設施。

由於駭客修改了M公司的防毒config,可逃避在IT 網路被檢測到,在收集並存取所有可能的 IT數據後,駭客也找到了連接到M公司其餘分公司的方法,在收集完M公司所有有價值的數據,REvil正式加密M公司的IT 系統。

在這案例中,REvil通過垃圾郵件活動來突破M公司的防禦,進入企業內部網路。透過教育訓練與各種社交工程的演練,提高員工的資安意識真的很重要!

這一兩年以來,REvil勒索軟體的威脅越來越大,台灣企業包括台灣塩野義製藥宏碁、日月光孫公司Asteelflash Group廣達紛紛遭到REvil的毒手,

在國外REvil的受害者更是不計其數,包括再生能源公司Invenergy,美國肉類供應巨頭 JBS,印度最大鋼鐵生產商塔塔鋼鐵

有關REvil勒索軟體的情資:

https://otx.alienvault.com/pulse/60620612447fce2d8297e899

https://otx.alienvault.com/pulse/5ef222cc894e26def88c012f?fbclid=IwAR3kW9d-gk-6L_ZXX9oV0smDFV3K-PppBIw_tIrM4iwKqT9VJ1WrwzptSh8

https://otx.alienvault.com/pulse/5d94e526aed10286c1219a4e

https://otx.alienvault.com/pulse/5dfb4e6841d3dcb0058366ff

*****竣盟科技快報歡迎轉載,但請註明出處