https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

新聞

Fortinet: 勒索軟體Dearcry不需與攻擊行動的命令暨控制伺服器連線即可加密文件

2021 / 03 / 25
編輯部
Fortinet: 勒索軟體Dearcry不需與攻擊行動的命令暨控制伺服器連線即可加密文件
近期爆發的微軟Exchange Server零日漏洞已導致全美國將近數萬台Exchange Server被駭。微軟日前指出此攻擊是名為「HAFNIUM」的駭客組織在中國境外利用Exchange Server零日漏洞大肆展開攻擊行動。Fortinet®呼籲企業積極採取主動偵測防禦的解決方案,防止惡意程式入侵。
 
微軟Exchange Server為全球數百萬企業與組織提供電子郵件及行事曆等協作服務方案,這些漏洞利用代碼(exploits)使駭客得以透過微軟Exchange Server接收來自外部不信任的網際網路存取,其中一個攻擊手法是利用遠端代碼執行攻擊(Remote Code Execution,RCE)將後門安裝到網路中以供日後使用。一旦安裝好後門,即便微軟已經修補這些漏洞,攻擊者仍然可以透過這些後門發動攻擊。

相關新聞: 美國CISA針對微軟 Exchange 嚴重漏洞發布緊急修補命令
 
Fortinet 北亞區總經理陳鴻翔表示,「面對近日層出不窮的資安威脅,Fortinet 致力於為客戶打造滴水不漏的安全防護,提供業界最廣泛且完整的網路安全平台和最佳的AI驅動的安全營運,實現敏捷高效又安全的數位創新網路環境。作為微軟MAPP計劃的一員,Fortinet 第一時間已接獲微軟通知並全面更新所有解決方案的防護措施,我們也呼籲所有使用者立即採取必要更新措施,並加強企業內部資安防禦以及資訊安全意識」。

FortiGuard Labs最新發現:勒索軟體Dearcry運作模式

微軟Exchange Server漏洞後患無窮,繼中國政府支持的「HAFNIUM」駭客組織利用微軟日前揭露的四個零時差漏洞持續攻擊世界各地組織後;FortiGuard Labs正在追蹤另一系列不明駭客團體的攻擊行動,利用Exchange Server後門試圖植入一項名為Dearcry的勒索軟體。
 
被DeojoCrypt/Dearcry鎖定的漏洞分別為先前微軟公佈的四個零時差漏洞,包括CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065。該攻擊鏈目標為能夠接收外部不信任連接的Exchange Server作為據點侵入,一旦駭客得逞並安裝Dearcry勒索軟體,即能建立受攻擊檔案的加密副本,並覆蓋及刪除原始檔案阻止復原。
 
Dearcry的運作模式為利用AES-256金鑰加密目標文件,接著使用RSA-2048金鑰對AES(Advanced Encryption Standard)金鑰進行加密,以便進一步展開攻擊。更為複雜的是,用於加密這些文件的公共金鑰會再將金鑰嵌入至勒索軟體二進位檔中,這意味著Dearcry不需與駭客的攻擊行動的命令暨控制(Command and Control,C&C)伺服器連線即可加密這些文件。因此,即使是設定為只允許網路存取的Exchange Server也會被加密,若沒有攻擊者提供的解密金輪,將無法解密並復原原始檔案。

FortiGuard Labs研究團隊建議使用者採取以下四項抵禦措施:
  1. 全面掃描、發現漏洞、即刻修補:
    立即更新組織内部的微軟Exchange Server。
  2. 確保安全性:
    Fortinet已發佈相關解決方案的更新版本,請閱讀FortiGuard 威脅警示報告了解更多資訊。
  3. 確認風險:
    即使已進行修補更新,仍須反覆確認組織是否遭受攻擊。FortiSIEM、FortiSOAR、FortiAnalyzer與FortiXDR的使用者們可參考FortiGuard Labs的威脅情報警示,根據建議的威脅回應策略以及自動化腳本進行有效的偵測與回應。
  4. 聯繫資安團隊:
    如果組織的資安存有風險並受到影響,建議盡速聯絡專業資安團隊,協助回應資安攻擊,並將組織傷害與影響降至最低。 
此外,Fortinet鼓勵企業與組織持續進行資安防禦培訓課程,實施教育訓練並深化員工資安防護意識,分享最新的網路釣魚攻擊,叮嚀員工不要開啟未知寄件人的訊息,更應謹慎應對未知寄件者的來信或不被信任的電子郵件。據各類報導指出,釣魚網站攻擊皆是透過社交工程(social engineering)陷阱詐騙得逞。因此,讓強化企業組織内所有使用者對各種類型的資安攻擊的知識是非常重要的;除此之外,企業組織內的資安部門可透過相關實戰演練或臨場測試幫助員工分辨不同種類的資安攻擊。