Sophos 發表 Matrix 勒索軟件家族報告,攻擊者利用 Windows 遠端桌面協定入侵電腦

研究報告科技新聞香港 IT 新聞

Sophos 最新有關 Matrix 勒索軟件家族的報告指出,Sophos 自該惡意軟件於2016年開始運作以來,在坊間已發現了 96 個樣本。跟之前的 BitPaymer、Dharma 及 SamSam 等針對性勒索軟件一樣,以 Matrix 來感染電腦的攻擊者一直利用 Windows 電腦內置的遠端存取工具「遠端桌面協定」 (Remote Desktop Protocol,簡稱 RDP) 去入侵企業網絡及電腦;但唯獨是 Matrix 只會針對網絡上的單一裝置,而不會廣泛散播至整間企業。

受害者須先聯絡攻擊者得知贖金金額

SophosLabs 的最新報告對攻擊者不斷演變的編碼和技術運用,以及他們向受害者索取金錢的手法和勒索留言作出了逆向工程分析。結果發現,利用 Matrix 的網絡罪犯會隨時間改變其攻擊參數,以新檔案與指令碼來於網上進行不同任務及負載。

Matrix 勒索留言早已內嵌於攻擊編碼中,但受害者必須先聯絡攻擊者方可得知贖金金額。在以往大部分Matrix 案例中,黑客都用上受加密保護的匿名即時訊息服務 bitmsg.me,但由於該服務現已終止,黑客改回使用日常電郵帳戶。奇怪的是,Matrix 的幕後黑手要求支付與指定美元金額同值的加密貨幣,而不是一般要求支付某加密貨幣金額。研究團隊仍未了解這種收取贖金的方式屬罪犯刻意誤導之舉,或是他們純粹想避免受加密貨幣兌換率的極大波動所影響。根據 SophosLabs 和這些罪犯的對話,勒索贖金原本為2,500美元,但攻擊者後來因研究人員停止回應而主動降價。

Matrix 靈活多變,尤如勒索軟件世界的瑞士軍刀。每當新的變種被植入網絡,便即掃描並物色下一位受害電腦。儘管其樣本數目不多,但危險性依然不減。攻擊者更會按每次攻擊後所得的經驗來改良,令Matrix一直演進成新版本。

Sophos 的《2019年網絡威脅報告》強調了針對性勒索軟件將會主導黑客行為,而企業就應時刻保持警惕,盡力確保自身不會成為容易入手的目標。

Sophos建議企業盡快實行以下四項保安措施:

  • 限制比如RDP及VNC (Virtual Network Computing) 等遠端操控應用程式的存取
  • 定期進行涵蓋整個網絡的全面漏洞掃描及滲透測試。若管理層沒有認真閱讀最近的滲透測試報告,便應立刻細閱。若管理層不聽從滲透測試人員的建議,只會讓網絡罪犯得益
  • 為敏感的內部系統設多重因素認證,即使是透過LAN或VPN連接的員工亦然
  • 馬上建立離線並離場的備份,並制定能修復整間公司的數據及系統之災難復原計畫