情境示意圖

勒索軟體持續開採常見企業軟體的漏洞以威脅企業。安全廠商近日發現名為Hello/WickrMe的勒索軟體不斷變種,而持續開採SharePoint一個舊漏洞蔓延。

安全廠商Pondurance於一月發現Hello勒索軟體開採SharePoint漏洞的行動後,趨勢科技近日發現這隻勒索軟體迄今仍然持續在網路上活動,除了勒索訊息檔用了.hello的新副檔名,也新增WickrMe的用戶帳號。這是因為駭客要求受害者使用Wickr通訊軟體與之聯繫贖付金事宜,因此新版本Hello又被稱為WickrMe。

Hello/WickrMe開採的是微軟協同平臺SharePoint的CVE-2019-0604。事實上2019年該漏洞就遭不知名駭客開採。這項漏洞去年被美國網路安全暨基礎架構安全署列為2016年到2019年間,最常遭到駭客開採的十大安全漏洞之一。微軟已在當時就修補了這項漏洞。

趨勢科技偵測到這次駭客利用Cobalt Strike滲透工具,攻擊未修補CVE-2019-0604安全漏洞的SharePoint伺服器,而且如同兩年前一樣,駭客植入名為China Chopper的webshell程式,後者屬於一種後門程式,最後植入的惡意程式為Hello/WickrMe。

圖片來源/趨勢科技

目前,勒索軟體是直接駭入SharePoint伺服器植入,還是經由initial access broker駭客服務存取SharePoint不得而知。因為Cobalt Strike beacon可在網上免費取得,故無法追溯出Hello/WickrMe駭客。

一旦Hello/WickrMe進入SharePoint伺服器,即會以RSA演算法加密檔案,產生.hello副檔名的勒索訊息。但同時它還能刪除備份、關閉終止行程以干擾防範機制。它能加密Office、.pdf、.7z等10多種格式檔案,以及MySQL、Microsoft SQL、Oracle、PostgreSQL、Veeam等資料庫。

一如所有勒索軟體,趨勢科技也呼籲用戶更新及建置多層次安全防護、不要隨意點選不明連結、並做好不同格式的備份。


熱門新聞

Advertisement