近日有資訊安全專家發現兩款全新的勒索軟件。與傳統的不同,新款的勒索軟件無需透過電郵或惡意網站傳播,只要伺服器有漏洞就可以入侵並把系統解密。他們指現時只有醫院受到攻擊,但其他行業都有相當的風險。
利用伺服器漏洞直接入侵
第一款新發現的勒索軟件名為 SamSam 。Cisco 安全小組 Talos 的高級技術領導 Craig Williams 說:「以前 CryptoLocker 和 TeslaCrypt 等勒索軟件需要受害人打開電郵附件或者瀏覽網頁來入侵, SamSam 卻以有漏洞的何服器為目標。」
除此之外,Williams 指這種新型的攻擊方法非常有效率,能夠避免偵察之餘也能配合各種情況,對公司的內部系統造成最大的破壞。他說由於伺服器系統未有更新,勒索軟件可以藉著已知漏洞入侵並植入醫院的網絡之中;又強調 SamSam 並非針對單一個人電腦,而是整個醫院系統。
據 Cisco Talos 分析,攻擊者利用 JetBoss 進行入侵。JetBoss 是一款開源軟件,用來測試 JBoss 伺服器。如此一來入侵醫院網絡,把多個 Windows 系統加密。
讓受害人與攻擊者溝通
SamSam 亦有另一個特別之處,就是可讓受害人與攻擊者直接談判。傳統的勒索軟件明碼實價,而且列出指示要求受害人跟從,但 SamSam 可讓受害人「講價」。Cisco Talos 指 SamSam 每解密一個系統需要一個 BitCoin,但如果受害人選擇一次過解密多個系統的話會有「優惠」。
專家指醫院普遍有較差的網絡安全,而且技術落後,容易成為目標,他們應提高警覺,但醫院可能只是云云行業中其中一個攻擊對像。
另一個勒索軟件是 Maktub。Maktub 最大特色是進行加密前會壓縮檔案以提升速度。除此之外 Maktub 與上述的 SamSam 無需與 C&C 伺服器聯繫也能加密檔案。
Source : Threatpost