在 3 月 2 日 Microsoft Exchange 漏洞被揭露以及緊急發布專用安全修補程式之後,安全研究人員已開始尋找除 Hafnium 以外利用這些錯誤進行攻擊的其他威脅。其中之一是 DearCry 勒索軟體。

Sophos 今天發布了對 DearCry 勒索軟體樣本的分析:《DearCry 攻擊鎖定 Exchange 伺服器的弱點》,該文概述了對該勒索軟體加密行為的一些新發現以及更多資訊。Sophos 勒索軟體專家工程技術辦公室主任 Mark Loman 在以下評論中總結了一些重點。 

如果您正在準備 DearCry 和其他勒索軟體攻擊的報導,歡迎使用 Mark 的評論。我們還可以根據需要安排與 Loman 和其他威脅專家進行訪談。

Sophos 工程技術辦公室總監 Mark Loman 表示:「我們分析 DearCry 勒索軟體樣本之後發現了一種罕見的加密攻擊行為:一種 “混合式” 的方法。多年來,我發現唯一使用混合式方法的勒索軟體是 WannaCry,它是自動散播的,而不是像 DearCry 這樣的人工操作。兩者首先都會建立受攻擊檔案的加密副本,我們將其稱之為「複製」加密,然後再覆蓋原始檔案以防止復原,我們稱這種手法稱之為「就地」加密。「複製型」勒索軟體讓受害者有可能復原某些資料。但如果使用「就地」加密,就無法透過救援工具進行復原。惡名昭彰的勒索軟體如 Ryuk、REvil、BitPaymer、Maze、和 Clop,只使用「就地」加密。 

「DearCry 和 WannaCry 之間還有許多其他相似之處,包括名稱和新增到加密檔案中的標頭。但這不表示我們能將 DearCry 聯想到 WannaCry 的作者。DearCry 的程式碼、方法和功能與 WannaCry 有很大不同:它不使用命令和控制伺服器,具有嵌入式 RSA 加密金鑰,不顯示有計數器的使用者介面,並且最重要的是,不會將自己傳播到網路上的其他電腦。

「我們發現 DearCry 的其他一些不尋常的特徵,包括勒索軟體作者正針對新的目標建立新的二進位檔,而遭鎖定的檔案類型也不斷增加。我們的分析進一步表明,該程式碼並沒有我們通常在勒索軟體上會發現的反偵測功能,例如封包或模糊。綜合以上和其他跡象,表明 DearCry 可能是一個原型,只不過搶先利用 Microsoft Exchange Server 弱點曝光的這個機會,或者是由經驗不足的開發人員所開發的。

「安全人員應緊急安裝 Microsoft 的修補程式,以防止 Exchange Server 被惡意利用。如果無法做到這一點,則應斷開伺服器與網際網路的連線,或由威脅回應團隊進行密切監視。」

Sophos Intercept X 和 Sophos Intercept X with EDR 可偵測並防禦 DearCry勒索軟體。 

SophosLabs Uncut 上取得 DearCry 勒索軟體的 Sophos 分析和危害指標的更多資訊。

其他媒體資源 (Sophos會定期更新這些資源)

Hafnium:對這種新型民族國家攻擊的建議

嚴重的安全問題:揭密 Webshel​​l

勒索軟體如何攻擊 

關於 Sophos

身為新一代網路安全的全球領導者,Sophos 保護了 150 多個國家的 40 萬多個各種規模的組織,免於當今最先進的網路威脅。由全球威脅情報和資料科學團隊 SophosLabs 和 SophosAI 所支援,Sophos 的雲端原生和 AI 驅動解決方案可保護端點 (筆記型電腦、伺服器和行動裝置) 和網路免受網路攻擊技術的發展,包括勒索軟體、惡意軟體、漏洞利用、資料外洩、主動攻擊入侵、網路釣魚等。Sophos Central 是一個雲端原生管理平台,將 Sophos 的所有新一代產品組合 (包括 Intercept X 端點解決方案和 XG 新一代防火牆) 整合成可透過一組 API 使用的單一同步安全系統中。Sophos 持續透過雲端、機器學習、API、自動化、託管式威脅回應等進階功能,推動新一代網路安全的轉型,為任何規模的組織提供企業級保護。Sophos 經由全球超過 53,000 個合作夥伴和託管服務提供商 (MSP) 的通路銷售產品和服務。Sophos 還透過 Sophos Home 向消費者提供創新的商業技術。公司總部位於英國牛津。如需詳細資訊請瀏覽 www.sophos.com


熱門新聞

Advertisement