【病毒變變變】勒索軟件都資源重用? 企業自保有方
資源回收甚至升級再做,為環保出一分力,這些概念常被宣揚;但在網絡的世界,勒索軟件的資源也會被重用,甚至升級變成另一款勒索軟件病毒,變得更難抵擋。有研究人員最近發現勒索軟件活動中的一個新變種,並發現到它不斷透過重用公開來源的代碼來變種。面對威脅也重用,企業組織應該要怎樣才能自保?
Nokoyawa 今年年初首次被發現,是一種新的 Windows 勒索軟件,由 FortiGuard 研究人員在 2022 年 2 月發現首個樣本,Nokoyawa 含有與 Karma 編碼顯著的相似之處,而 Karma 則是源自有眾多變體的勒索軟件 Nemty。Nemty 勒索軟件系列則在 2019 年時首次被發現。
安全研究人員最近發現了這個勒索軟件活動又有新變體,並提到該變體是透過重用來自公開來源的代碼而作出改變。 2022 年 4 月發現的樣本,含有三個新功能能增加 Nokoyawa 可以加密的文件數量;這些功能已存在於最近的勒索軟件系列中,反映 Nokoyawa 開發人員正試圖在技術能力方面,與其他營運商保持同步。大部分附加代碼是從公開可用的來源複製而來,當中包括 2021 年 9 月洩露、現已失效的勒索軟件 Babuk 。例如犯罪分子會停止進程和服務的功能,以減少被鎖定的文件數量其他程序,以便代碼能用加密這些文件。而這些代碼,包括進程和服務名稱的列表,與 Babuk 相同。
Nokoyawa 還包括 enumerate 和 mount volumes 的代碼,以加密這些卷上的文件,該代碼亦是使用與 Babuk 洩露的相同代碼。它通過將 volumes snapshot 調整為 1 byte 來刪除 snapshot,由於此大小不足以存儲快照,Windows 將刪除它們。而這些代碼看起來是從公開可用的 POC 中抄襲而來的。而 Nokowaya 只是一個反映犯罪分子可以比以往更快地行動跡象,顯示他們花最小的力氣將現有的惡意軟件代碼重用變種攻擊。
事實上,去年 Log4j 亦出現了相同的情況。Apache Log4j Java 為本的框架中的關鍵漏洞由於容易被利用,以至於攻擊者可以完全控制目標系統。在短短幾天內,Log4j 成為 2021 年下半年最常被 IPS 檢測的攻擊。另外,犯罪分子亦利用重新包裝的 DarkSide、並易名 BlackMatter 的勒索軟件,BlackMatter 被多次用在攻擊美國的基建設施。
雖然重用舊有勒索軟件代碼的方式並非新鮮事,但對於不良行為者來說,成為更常用的策略手段,而隨著勒索軟件即服務(Ransomware-as-a-service)的興起,將會使之更容易散播。
企業組織面對變種勒索軟件病毒,應該如何處理?FortiGuard Lab 的 Chief Security Strategist Derek Manky 在 Security Week 分享,首先,企業組織需要更深入地了解攻擊技術,FortiGuard 的研究人員分析檢測到的惡意軟件的功能,並創建了一份 tactics, techniques and procedures (TPP)列表,倘發生攻擊,惡意軟件將執行 TTP。及早阻止攻擊者更顯重要,並且在某些情況下,檢測到的 TTP 可有效地阻止惡意軟件的攻擊。
其次,網絡衛生相關的培訓對於企業組織中亦是必要,現時有許多免費的網絡安全課程可供採用,包括針對網絡安全專業人員的課程。學習網絡戰的基礎知識,能讓每個人保護所屬企業組織免受攻擊。多因素身份驗證(MFA)和密碼保護可以幫助保護遙距員工的個人資料,並且知道如何識別網絡釣魚電子郵件及惡意廣告,將幫助員工避免落入社交工程的陷阱。
在勒索軟件開發的世界裡,一切舊事物再次成為新事物,將以前的入侵方法結合成新變體,就是一種體現,而勒索軟件即服務只會加劇這些新變種的破壞潛力。 但企業組織仍可通過掌握當前攻擊技術的詳細資訊,並及時更新員工的網絡衛生培訓,加強其安全態勢。