勒索軟體Dire Wolf鎖定科技業、製造業而來，攻擊範圍涵蓋臺灣等11個國家

新興勒索軟體不斷竄出，且在短時間就引起資安界關注的情況持續上演，我們先前介紹的CrazyHunter、NightSpire、Anubis都是如此，其中CrazyHunter、NightSpire都在臺灣發動攻擊，如今有新的駭客組織也將臺灣視為主要的攻擊目標，而相當值得留意。

資安業者Trustwave揭露自今年5月開始活動的勒索軟體駭客組織Dire Wolf，此組織專門針對全球的製造業與科技業發動攻擊，目前號稱在臺灣等11個國家當中，對16個企業組織下手。研究人員指出，根據受害組織的數量，駭客偏重在美國、泰國、臺灣發動攻擊。

這些駭客向受害組織勒索的策略，也與大部分駭客相同，採用雙重勒索來進行，不僅加密檔案，也竊取機密資料向受害組織施壓。研究人員從惡意軟體分析平臺VirusTotal取得勒索軟體程式，指出駭客使用Go語言開發，並透過UPX加殼來混淆分析。雖然目前他們只有看到Windows版本的檔案，但由於Go語言的跨平臺特性，研究人員認為，不久之後，這支勒索軟體可能也會發展出能在其他平臺執行的版本。

一旦Dire Wolf惡意軟體執行，會先使用vssadmin、wmic、wbadmin等公用程式刪除磁碟區陰影複製（Volume Shadow Copy）服務的備份資料，使用bcdedit阻止使用者進行系統還原，然後透過公用程式wevtutil清除Windows事件記錄，最終再使用Curve25519與ChaCha20演算法加密檔案，並留下勒索訊息。罕見的是，駭客還會檢查受害電腦是否有重複加密檔案的情況，但為何要這麼做，研究人員沒有說明。