近日勒索軟體攻擊頻繁,企業與個人應加強網路安全防護
- 發布單位:TWCERT/CC
- 更新日期:2025-02-13
- 點閱次數:4863
TWCERT/CC掌握外部情資,近期 Hunter Ransom Group 針對醫療機構發動勒索攻擊。根據情資顯示,該組織的主要攻擊手法包括滲透企業內網,利用 SharpGPOAbuse 和 BYOVD(Bring-Your-Own-Vulnerable-Driver)技術提升帳號權限,繞過傳統防毒軟體的偵測與防護,進一步在內部橫向移動並加密其他主機的系統檔案。
目前遭攻擊之醫療機構,已知是先滲透內部網路後,進而攻擊AD主機,取得權限後再派送惡意程式至其它主機,已發現的惡意程式名稱如下:
| 檔案名稱 | SHA256 |
| av-1m.exe | EE854E9F98D0DF34C34551819889336C16B9BFE76E391356CB17B55D59CF28CF |
| av.exe | 3B2081042038C870B1A52C5D5BE965B03B8DD1C2E6D1B56E5EBB7CF3C157138D |
| bb.exe | 2CC975FDB21F6DD20775AA52C7B3DB6866C50761E22338B08FFC7F7748B2ACAA |
| crazyhunter.exe | F72C03D37DB77E8C6959B293CE81D009BF1C85F7D3BDAA4F873D3241833C146B |
| crazyhunter.sys | 5316060745271723C9934047155DAE95A3920CB6343CA08C93531E1C235861BA |
| go.exe | 754D5C0C494099B72C050E745DDE45EE4F6195C1F559A0F3A0FDDBA353004DB6 |
| go2.exe | 983F5346756D61FEC35DF3E6E773FF43973EB96AABAA8094DCBFB5CA17821C81 |
| go3.exe | F72C03D37DB77E8C6959B293CE81D009BF1C85F7D3BDAA4F873D3241833C146B |
| ru.bat | 15160416EC919E0B1A9F2C0DC8D8DC044F696B5B4F94A73EC2AC9D61DBC98D32 |
| ru.bat | 731906E699ADDC79E674AB5713C44B917B35CB1EABF11B94C0E9AD954CB1C666 |
| zam64.sys | 2BBC6B9DD5E6D0327250B32305BE20C89B19B56D33A096522EE33F22D8C82FF1 |
| zam64.sys | BDF05106F456EE56F97D3EE08E9548C575FC3188AC15C5CE00492E4378045825 |
| ta.bat | 527ED180062E2D92B17FF72EA546BB5F8A85AD8B495E5B0C08B6637B9998ACF2 |
| CrazeHunter.zip | D202B3E3E55DF4E424F497BA864AB772BAAF2B8FE10B578C640477F8A8A8610C |
以下為勒索軟體攻擊的防護措施建議:
1. 比對檔案雜湊值,並檢視系統是否存在可疑檔案。
2. 嚴格控管共享資料夾權限。
3. 採用網路入侵防護機制,切割不同網段進行隔離,縮小受影響範圍。
4. 透過防毒軟體進行防護,確保系統安全防護措施正常開啟與運行,並及時更新系統及病毒碼。
5. 提高安全意識,不隨意開啟可疑連結、來源不明電子郵件、檔案,並於開啟與運行前進行安全掃描,盡可能從可信的來源下載和安裝軟體。
6.核心系統主機可安裝 EDR(Endpoint Detection and Response) 端點偵測與回應,即時偵測主機異常活動並進行回應。
7. 定期進行檔案備份,並遵守備份 321原則 :
7.1 資料至少備份 3份
7.2 使用 2 種以上不同的備份媒介
7.3 其中 1 份備份要存放異地