勒索软体为了提高勒索的成功率,也开始数位转型,尤其是一些骇客集团开始锁定大型企业作为狩猎(Big game hunter)标的。也就是说,这些骇客集团为了确保被勒索的企业,有能力且有意愿支付勒索赎金,从过往漫天撒网的掳资料、加密勒索的方式,进阶到锁定特定产业或特定企业的针对式勒索。
因为加密货币出现,解决以往骇客集团最伤脑筋的金流问题,也带动各种不同骇客集团开始透过勒索软体加密企业资料的方式,向受骇企业要求支付赎金。
面对勒索软体持续进化、锁定知名企业下手,以及黒色产业供应链的种种发展态势,台湾资安公司奥义智慧共同创办人丛培侃日前在HITCON Freetalk的研讨会中,提出他们的观察分析。
近期,骇客组织为了确保赎金一定到手,已经启动了「双重勒赎」的作法,意即骇客集团在加密企业资料之前,也同步备份一份企业资料,一旦企业不愿意针对加密资料支付赎金,骇客集团便威胁在网路上公布企业的机敏资料。「骇客透过加密档案以及外泄机敏资料的双重手法,确保企业一定肯支付赎金的作法,就是双重勒赎。」他说。
面对骇客集团的勒索,企业也担心:一旦骇客公布企业机敏资料该怎么办?受骇新闻若持续发酵,是否会影响公司正常营运?生产供应是否受创?是否违反当地法遵要求的压力和恐惧。同时,因为不知道骇客是从什么地方入侵企业,也不知道未来是否还会持续入侵?受骇后,有哪些资安解决方案可以派上用场?
甚至于,企业为了即时恢复系统运作,电脑重灌成为最常见的手法,但也因此毁掉许多骇客入侵的轨迹和相关的登录档(Log),就连是否应该支付赎金的决策,都得在更短的时间内做决定,这也使得找到骇客入侵企业的根因,更是难上加难。
丛培侃坦言,企业为了第一时间恢复正常营运、系统可以上线维运,资安业者在协助企业处理勒索软体的过程中,就是一场和时间赛跑的竞赛。而这些受骇企业对资安业者的要求就是,将解密被勒索软体加密的企业资料和档案,最好能够无缝让企业的系统上线运作。但事实上,企业的要求和资安公司可以提供的解决方案之间,往往有很大的落差。
他也以过往协助客户面对勒索软体威胁的经验表示,资安业者必须要识别勒索软体的种类,评估有没有办法解密、演算法有没有漏洞、采用何种加密方式,甚至也要针对骇客集团进行背景调查。
因为,如果是遇到恶名昭彰的骇客集团绑资料勒索的话,企业根本没机会商量赎金杀价与否,只有乖乖支付赎金一条路而已。
勒索软体出现「帮派化」现象
综观现在勒索软体的散播管道上,有些是是透过恶意程式服务平台Malware as a Service(MaaS)的傀儡网路(Botnet)上架,丛培侃解释,这就类似有规模的帮派,各地有堂口帮忙乔事情。
常见的傀儡网路包括:今年1月才被八国联军抄底的Emotet,以及常见的Trickbot、Zeus和Dridex等,而使用的攻击手法精良,类似APT渗透技能,像是:BloodHound、Cobalt Strike、Empire等。
他也说,骇客集团要在恶意程式服务平台上架勒索软体,支付成本相对高,所以会锁定有支付能力的大型制造业、高科技制造业等金鸡母,这些大型企业经常是财报发表后,就遭到骇客集团勒索。
也因为骇客投注很多的成本,为了达到让企业支付赎金的目的而不择手段,所以,企业要跟骇客杀价赎金的空间就比较小,甚至还有难缠的无良骇客——即便拿到赎金,也不打算或是无法将档案解密。
供应链所费不赀,骇客专挑知名企业勒索,因对方能付赎金
目前常见的攻击流程可以分成三层式,第一层,也是整个勒索即服务的最上游,骇客组织透过傀儡网路散布勒索软体,例如Emotet或是Trickbot等;第二层就是中游,则是勒索软体供应商,像是Conti、Ryuk,或是BazarLoader等,虽然上游之一的Emotet被执法单位抄底,但这些勒索软体供应商可以花时间,再找其他的MaaS平台上架即可;第三层就是下游,也是这整个勒索即服务流程中的受骇企业。
由上述的流程可以发现,骇客透过MaaS傀儡网路平台上架勒索软体,所费不赀,在每一个环节都必须支付不少成本,因此,如果受骇企业不愿意支付赎金的话,骇客集团就无法付钱给上游和中游的供应链业者,他们也就会亏本。
这也是为什么,骇客集团会精准锁定营收好、好打、国际知名,且加密档案被解密后,还会愿意支付赎金的企业,作为标的,并且会不择手段逼迫企业支付赎金。像是,以色列业者Clearsky追踪骇客集团Conti数位货币钱包位址的动向,他们发现,当骇客集团收到企业赎金后,数位货币的金流会流向其他上游厂商。
此外,为了确保企业一定会付赎金,除了加密档案向企业勒索外,也会在加密前先备份企业档案,如果企业不愿意之付赎金解密档案的时候,骇客就会威胁将「骇客备份」的资料外泄到暗网中,这也是企业最担心、恐惧的部份。丛培侃认为,骇客组织对企业的各种威吓手段,除了利用工具加密外,也包含不少恫吓受害者内心的攻防手段在内。
此外,也有不用恶意程式服务平台上架的勒索软体,他说,因为骇客集团不需要支付软体上架等其他太多成本,这些骇客集团就像是一般街头小混混,锁定防护能力较弱的中小型制造业、医院、学校或知名企业等。
因为使用的手法粗糙、没有客制化病毒的能力,所以企业在跟这类骇客集团进行赎金谈判时,沟通看起来相对容易,有比较大的杀价空间,但勒索软体本身的漏洞多,有时候,企业被加密的档案,骇客集团不一定有办法解开。
丛培侃表示,暗网有很多兜售勒索软体的一站式服务,把勒索软体当成一种服务贩售,也就是Ransomware-as-a-Service(勒索软体即服务),骇客不仅可以自己产生加密金钥、躲避侦测组合,还可以自定勒索讯息和选择想要加密的档案类型。他说,这些骇客多来自东欧、乌克兰等地,相关勒索软体即服务看起来人人都可以轻易上手使用,任意发起小规模攻击,还是会有企业付钱,
发动一次勒索,平均可以获得五颗比特币(25万美金)赎金,但他强调,这些恶意程式本身都藏有后门程式,一旦使用者启用了该服务去进行勒索,骇客作者不仅知道谁用的、勒索谁,连使用者在哪里都一清二楚,因此,千万不要随便去暗网买个勒索即服务,就觉得可以轻易赚到企业的赎金,其中有很高的风险和危险性。
他指出,以前的金融木马是为了取得银行帐号作为洗钱之用,现在的金融木马却是采用敏捷开发、实践软体迭代开发的病毒。
此外,也有不用恶意程式服务平台上架的勒索软体,他说,因为骇客集团不需要支付软体上架等其他太多成本,这些骇客集团就像是一般街头小混混,锁定防护能力较弱的中小型制造业、医院、学校或知名企业等。
因为使用的手法粗糙、没有客制化病毒的能力,所以企业在跟这类骇客集团进行赎金谈判时,沟通看起来相对容易,有比较大的杀价空间,但勒索软体本身的漏洞多,有时候,企业被加密的档案,骇客集团不一定有办法解开。
丛培侃表示,暗网有很多兜售勒索软体的一站式服务,把勒索软体当成一种服务贩售,也就是Ransomware-as-a-Service(勒索软体即服务),骇客不仅可以自己产生加密金钥、躲避侦测组合,还可以自定勒索讯息和选择想要加密的档案类型。他说,这些骇客多来自东欧、乌克兰等地,相关勒索软体即服务看起来人人都可以轻易上手使用,任意发起小规模攻击,还是会有企业付钱,
发动一次勒索,平均可以获得五颗比特币(25万美金)赎金,但他强调,这些恶意程式本身都藏有后门程式,一旦使用者启用了该服务去进行勒索,骇客作者不仅知道谁用的、勒索谁,连使用者在哪里都一清二楚,因此,千万不要随便去暗网买个勒索即服务,就觉得可以轻易赚到企业的赎金,其中有很高的风险和危险性。
他指出,以前的金融木马是为了取得银行帐号作为洗钱之用,现在的金融木马却是采用敏捷开发、实践软体迭代开发的病毒。
勒索软体攻击若要得逞,我们可以进一步分析常见的入侵手法,一般而言,骇客透过远端桌面帐密及漏洞获取权限后,便在企业电脑中植入Dridex病毒以窃取资料,然后,透过永恒之蓝(EternalBlue)或Zerologon的漏洞,在企业内横向移动并取得企业内AD(目录服务)控制权后,伺机发动大规模勒索攻击。
他也说,该骇客集团除加密档案外,也同时恐吓受骇企业用户,如果企业不愿意支付赎金的话,骇客将会在暗网泄漏企业资料,借此恐吓受骇企业支付高额赎金。包括电脑制造业者仁宝科技在内,都是透过Dridex、Emotet等垃圾邮件邮件散布勒索程式。
另外,工业电脑大厂研华也传出遭到勒索软体Conti外泄一批3GB的内部资料,这也证实骇客集团为了逼迫受骇企业支付赎金,会外泄部分内部资料,证明他们的确拥有受骇企业的内部资料。
其实,关于勒索软体的散播,不管是DoppelPaymer,或是conti,以及类似的Ruyk,都是透过像是Dridex、Trickbot或是Emote对外散布,其中,最早出现在去年七月的Conti勒索软体,专门锁定金融及教育产业、私人企业、政府部门、健康及医疗产业、大型与中小型企业,几乎可以想见的企业都包括在内,一直到今年初,Conti则成为最常见的勒索软体之一。
骇客为确保赎金到手,不仅加密资料还向受害者恐吓外泄
勒索软体也可以依照规模,区分成三类,丛培侃表示,第一级属于组织庞大、演化许久的勒索软体,像是攻透过Dridexn散布的DoppelPaymer(攻击鸿海),或是其他常见的Egregor、 Maze勒索软体,下面还包括其他类似的勒索软体,像是Netwalker、Revil(外传攻击宏碁电脑Acer的骇客集团)、透过Emotet散布的Ryuk,以及透过Dridex散布的、攻击卫服部的GlobeImposter等,都是属于又资深、规模又大的第一级勒索软体。
第二级则是规模次之、较为新进的勒索软体,常见的Conti、WastedLocker,或是其他的Avaddon、IOCP、 Clop、Darside、Pysa/Mespinoza、Ragnar、Ranzy、SunCryptThanos都归于此类。第三级则是更新、规模小也比较不常见的勒索软体,包括:Cvartk、Exorcist、Gothmog、Lolkek、Muchlove、Nemty、Rush、Wally、XINOF和Zeoticus等。
而上述每一级的勒索软体,都会利用其网路犯罪集团的黑产供应链,目的就是要逼受骇企业之付赎金。
因为勒索软体持续进化,丛培侃表示,现在进入勒索软体2.0的时代,骇客追求更聪明、更快、更有效率,希望做到在最短时间内,加密最多档案以达到最大破坏力,他说:「勒索软体2.0更是实践档案加密最佳化的案例。」
随着勒索软体2.0发展,勒索软体也升级SEEL四部曲,先「偷(Steal)」,接着「加密(Encrypt)」,之后「勒索(Extort)」,最终「外泄(Leak)」。
丛培侃表示,偷的部份,主要是使用APT手法入侵,攻击大部分人为操作部分,锁定单位AD(目录服务)主机,锁定重要资料,例如HR、SAP REP、MES、财会系统等资料,再传输到云端硬碟。
紧接着加密部分,在AD伺服器部署加密程式,并在AD设定定时炸弹,实施档案加密阶段;勒索的作法则包括:在暗网外泄相关档案资料的资讯后,寄给受骇企业IT人员相关勒索讯息,并同步持续窃取企业资料;外泄则像是挤牙膏一样,逐步泄漏企业资料,也会公布外泄资料进度比例。
不过,他也说,骇客为了达到逼迫受骇企业支付赎金的目的,在勒索软体加密企业电脑后,骇客也会针对受骇企业的IT、资安或CSIRT人员广发信件,并威胁企业如果不付赎金的话,就会在暗网公布外泄资料,而这种加密资料又威胁外泄资料的作法,称之为双重勒索。不过,丛培侃也笑说,当企业在暗网外泄资料达百分之百后,企业的资料就成为开放资料,网路上都可以找回来,但多数企业都等不到这个时候,也无法接受这样的建议。因为骇客背后通常是庞大的组织,很难对锁定攻击的企业收手,除非,骇客打不赢受骇企业。
常见的勒索软体攻击流程以分成三层,最上游是指骇客组织透过傀儡网路散布勒索软体,例如Emotet或是Trickbot等;中游则是勒索软体供应商,像是Conti、Ryuk,或是BazarLoader等,虽然上游之一的Emotet被执法单位抄底,但这些勒索软体供应商可以再找其他的MaaS平台上架;下游是指整个勒索即服务流程中的受骇企业。
暗网有很多兜售勒索软体的一站式服务,把勒索软体当成一种服务贩售,也就是Ransomware-as-a-Service(勒索软体即服务),骇客不仅可以自己产生加密金钥、躲避侦测组合,还可以自定勒索讯息和选择想要加密的档案类型。
勒索软体依照规模可分成三类,第一级属于组织庞大、演化许久的勒索软体,第二级则是规模次之、较为新进的勒索软体,第三级则是更新、规模小也比较不常见的勒索软体。
874万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
