一般来说,暗网有很多兜售勒索软件的一站式服务,把勒索软件当成一种服务贩售。也就是Ransomware-as-a-Service(勒索软件即服务)。黑客不仅可以自己产生加密密钥、躲避侦测组合,还可以自定勒索信息和选择想要加密的档案类型。
购买软件去勒索同样具有风险性
这些黑客多来自东欧、乌克兰等地,相关勒索软件即服务看起来人人都可以轻易上手使用,任意发起小规模攻击,还是会有企业付钱。发动一次勒索平均可以获得五颗比特币(25万美金)赎金。但他强调,这些恶意程序本身都藏有后门程序,一旦使用者启用了该服务去进行勒索,黑客作者不仅知道谁用的,勒索谁,连使用者在哪里都一清二楚。因此,千万不要随便去暗网买个勒索即服务,就觉得可以轻易赚到企业的赎金,其中还是有很高的风险和危险性。
金融木马通过勒索软件发布钓鱼信件进行勒索
以前的金融木马是为了取得银行帐号作为洗钱之用,现在的金融木马却是采用敏捷开发,实践软件迭代开发的病毒。
举例而言,Dridex、Trickbot、Emotet都是常见的金融木马,多年发展下来,程序本身自我混淆和规避侦测技术能力强,持续改良通信构架,像是Dridex便大量使用VEH(Vectord Exception Handling)进行程序解密,并透过在线软件更新(In Line Patch)方式做动态修改;而许多勒索软件也会透过钓鱼信件发送,传统invoice.zip的钓鱼信件样本,已经持续进化成更符合真实社会、更精准的钓鱼信件,并会在模拟真实的档案中「加料」,勒索软件多透过傀儡网络散布,年初扫荡Emotet有益于打击声势。
勒索软件打击工作任重道远
在2020年10月,微软曾出手打击Trickbot傀儡网络,当时并没有成功剿灭,,但今年1月27日由德国发起的抄底最大规模倪儡网络Emotet行动中,不仅扫荡相关的命令与控制服务器(中继站)的基础设施,乌克兰更逮捕到两名Emotet系统管理员,证明此次扫荡行动让Emotet大受打击。
关于先前鸿海在墨西哥的厂区,遭到黑客集团DoppelPaymer勒索软件的恐吓事件,外传有1,200台服务器遭到黑客绑架,并有20TB到30TB的加密数据遭到黑客删除。而实际上来说,DoppelPaymer病毒是BitPaymer勒索病毒的变种,从2019年便陆续出现于几起勒索攻击事件中。
勒索软件攻击和勒索流程
勒索软件攻击若要得逞,我们可以进一步分析常见的入侵手法,一般而言,黑客透过远端桌面帐密及漏洞获取权限后,便在企业电脑中植入Dridex病毒以窃取数据,然后,透过永恒之蓝(EternalBlue)或Zerologon的漏洞,在企业内横向移动并取得企业内AD(目录服务)控制权后,伺机发动大规模勒索攻击,
黑客集团除加密档案外,也同时恐吓受黑企业用户,如果企业不愿意支付赎金的话,黑客将会在暗网泄漏企业资料,借此恐吓受黑企业支付高额赎金,包括电脑制造业者仁宝科技在内,都是透过Dridex、Emotet等垃圾邮件邮件散布勒索程序,另外,工业电脑大厂研华也传出遭到勒索软件Conti外泄一批3GB的内部资料,这也证实黑客集团为了逼迫受黑企业支付赎金,会外泄部分内部资料,证明他们的确拥有受黑企业的内部数据。
3163
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
