Sophos發布了深入剖析Matrix針對性勒索軟件的最新報告。環球網絡及端點安全廠商Sophos最新有關Matrix勒索軟件家族的報告指出,Sophos自該惡意軟件於2016年開始運作以來,在坊間已發現了96個樣本。跟之前的BitPaymer、Dharma及SamSam等針對性勒索軟件一樣,以Matrix來感染電腦的攻擊者一直利用Windows電腦內置的遠端存取工具「遠端桌面協定」 (Remote Desktop Protocol,簡稱RDP) 去入侵企業網絡及電腦;但唯獨是Matrix只會針對網絡上的單一裝置,而不會廣泛散播至整間企業。
SophosLabs的最新報告對攻擊者不斷演變的編碼和技術運用,以及他們向受害者索取金錢的手法和勒索留言作出了逆向工程分析。結果發現,利用Matrix的網絡罪犯會隨時間改變其攻擊參數,以新檔案與指令碼來於網上進行不同任務及負載。
Matrix勒索留言早已內嵌於攻擊編碼中,但受害者必須先聯絡攻擊者方可得知贖金金額。在以往大部分Matrix案例中,黑客都用上受加密保護的匿名即時訊息服務bitmsg.me,但由於該服務現已終止,黑客改回使用日常電郵帳戶。奇怪的是,Matrix的幕後黑手要求支付與指定美元金額同值的加密貨幣,而不是一般要求支付某加密貨幣金額。研究團隊仍未了解這種收取贖金的方式屬罪犯刻意誤導之舉,或是他們純粹想避免受加密貨幣兌換率的極大波動所影響。根據SophosLabs和這些罪犯的對話,勒索贖金原本為2,500美元,但攻擊者後來因研究人員停止回應而主動降價。
Matrix靈活多變,尤如勒索軟件世界的瑞士軍刀。每當新的變種被植入網絡,便即掃描並物色下一位受害電腦。儘管其樣本數目不多,但危險性依然不減。攻擊者更會按每次攻擊後所得的經驗來改良,令Matrix一直演進成新版本。
Sophos 的《2019年網絡威脅報告》強調了針對性勒索軟件將會主導黑客行為,而企業就應時刻保持警惕,盡力確保自身不會成為容易入手的目標。
Sophos建議企業盡快實行以下四項保安措施:
限制比如RDP及VNC (Virtual Network Computing) 等遠端操控應用程式的存取定期進行涵蓋整個網絡的全面漏洞掃描及滲透測試。若管理層沒有認真閱讀最近的滲透測試報告,便應立刻細閱。若管理層不聽從滲透測試人員的建議,只會讓網絡罪犯得益為敏感的內部系統設多重因素認證,即使是透過LAN或VPN連接的員工亦然馬上建立離線並離場的備份,並制定能修復整間公司的數據及系統之災難復原計畫
Sophos發表針對性勒索軟件Matrix內部大解構
https://www.facebook.com/hkitblog