Sophos X-Ops 最新研究揭露,多個勒索軟體集團正在進行一項持續性的攻擊行動。攻擊者採用「電子郵件轟炸」,如在短短一小時內寄出數千封電子郵件 與「語音詐騙」 相結合的手法,企圖滲透企業網路並竊取資料。在這起攻擊行動中,攻擊者偽裝成 Microsoft Teams 的技術支援人員,誘騙員工提供電腦的遠端存取權限;一旦取得存取權,攻擊者便可下載並植入勒索軟體。
Sophos X-Ops 最初於今年一月揭露這起攻擊行動,當時已有 15 間公司受害。自此之後,根據 Sophos MDR 與事件回應 (IR) 的案件資料,Sophos X-Ops 已識別出超過 55 起其他的攻擊嘗試。然而,另一個勒索軟體集團 3AM 也採用了類似的攻擊鏈,不過卻在多個關鍵環節調整手法以提高攻擊成功率:
- 在受害電腦上部署虛擬機器,藉此躲避端點防護軟體的偵測
- 根據對目標的深入偵察調整攻擊手法:掌握特定員工的電子郵件地址與電話號碼,並透過網路語音電話假裝電話是來自企業內部的客服專線
- 在發動勒索攻擊前潛伏並進行長達 9 天的偵察
Sophos 首席威脅研究員 Sean Gallagher 表示,語音詐騙 (vishing) 與電子郵件轟炸的組合,依然是勒索軟體攻擊者極具威力且有效的手法,而 3AM 勒索軟體集團如今也找到了方法,透過遠端加密來規避傳統安全軟體的偵測。由於這些社交工程手法已被證實有效,我們預期這兩種語音詐騙/電子郵件轟炸攻擊活動仍將持續活躍。
為了維護安全,企業首先應該提升員工的資安意識,並嚴格限制遠端存取的行為。其中包括制定政策,禁止員工在不應安裝此類軟體的電腦上執行虛擬機器或遠端存取工具。此外,也應封鎖所有與遠端控制相關的進出站網路流量,僅允許經授權的遠端存取系統連線。