勒索軟體Hello/WickrMe瞄準微軟SharePoint伺服器漏洞發動攻擊

勒索軟體持續開採常見企業軟體的漏洞以威脅企業。安全廠商近日發現名為Hello/WickrMe的勒索軟體不斷變種，而持續開採SharePoint一個舊漏洞蔓延。

安全廠商Pondurance於一月發現Hello勒索軟體開採SharePoint漏洞的行動後，趨勢科技近日發現這隻勒索軟體迄今仍然持續在網路上活動，除了勒索訊息檔用了.hello的新副檔名，也新增WickrMe的用戶帳號。這是因為駭客要求受害者使用Wickr通訊軟體與之聯繫贖付金事宜，因此新版本Hello又被稱為WickrMe。

Hello/WickrMe開採的是微軟協同平臺SharePoint的CVE-2019-0604。事實上2019年該漏洞就遭不知名駭客開採。這項漏洞去年被美國網路安全暨基礎架構安全署列為2016年到2019年間，最常遭到駭客開採的十大安全漏洞之一。微軟已在當時就修補了這項漏洞。

趨勢科技偵測到這次駭客利用Cobalt Strike滲透工具，攻擊未修補CVE-2019-0604安全漏洞的SharePoint伺服器，而且如同兩年前一樣，駭客植入名為China Chopper的webshell程式，後者屬於一種後門程式，最後植入的惡意程式為Hello/WickrMe。

圖片來源／趨勢科技

目前，勒索軟體是直接駭入SharePoint伺服器植入，還是經由initial access broker駭客服務存取SharePoint不得而知。因為Cobalt Strike beacon可在網上免費取得，故無法追溯出Hello/WickrMe駭客。

一旦Hello/WickrMe進入SharePoint伺服器，即會以RSA演算法加密檔案，產生.hello副檔名的勒索訊息。但同時它還能刪除備份、關閉終止行程以干擾防範機制。它能加密Office、.pdf、.7z等10多種格式檔案，以及MySQL、Microsoft SQL、Oracle、PostgreSQL、Veeam等資料庫。

一如所有勒索軟體，趨勢科技也呼籲用戶更新及建置多層次安全防護、不要隨意點選不明連結、並做好不同格式的備份。