奥义智慧
勒索软件为了提高勒索的成功率,也开始数位转型,尤其是一些骇客集团开始锁定大型企业作为狩猎(Big game hunter)标的。也就是说,这些骇客集团为了确保被勒索的企业,有能力且有意愿支付勒索赎金,从过往漫天撒网的掳资料、加密勒索的方式,进阶到锁定特定产业或特定企业的针对式勒索。
因为加密货币出现,解决以往骇客集团最伤脑筋的金流问题,也带动各种不同骇客集团开始透过勒索软件加密企业资料的方式,向受骇企业要求支付赎金。
面对勒索软件持续进化、锁定知名企业下手,以及黒色产业供应链的种种发展态势,台湾资安公司奥义智慧共同创办人丛培侃日前在HITCON Freetalk的研讨会中,提出他们的观察分析。
近期,骇客组织为了确保赎金一定到手,已经启动了“双重勒赎”的作法,意即骇客集团在加密企业资料之前,也同步备份一份企业资料,一旦企业不愿意针对加密资料支付赎金,骇客集团便威胁在网络上公布企业的机敏资料。“骇客透过加密档案以及外泄机敏资料的双重手法,确保企业一定肯支付赎金的作法,就是双重勒赎。”他说。
面对骇客集团的勒索,企业也担心:一旦骇客公布企业机敏资料该怎么办?受骇新闻若持续发酵,是否会影响公司正常营运?生产供应是否受创?是否违反当地法遵要求的压力和恐惧。同时,因为不知道骇客是从什么地方入侵企业,也不知道未来是否还会持续入侵?受骇后,有哪些资安解决方案可以派上用场?
甚至于,企业为了即时恢复系统运作,电脑重灌成为最常见的手法,但也因此毁掉许多骇客入侵的轨迹和相关的登录档(Log),就连是否应该支付赎金的决策,都得在更短的时间内做决定,这也使得找到骇客入侵企业的根因,更是难上加难。
丛培侃坦言,企业为了第一时间恢复正常营运、系统可以上线维运,资安业者在协助企业处理勒索软件的过程中,就是一场和时间赛跑的竞赛。而这些受骇企业对资安业者的要求就是,将解密被勒索软件加密的企业资料和档案,最好能够无缝让企业的系统上线运作。但事实上,企业的要求和资安公司可以提供的解决方案之间,往往有很大的落差。
他也以过往协助客户面对勒索软件威胁的经验表示,资安业者必须要识别勒索软件的种类,评估有没有办法解密、算法有没有漏洞、采用何种加密方式,甚至也要针对骇客集团进行背景调查。
因为,如果是遇到恶名昭彰的骇客集团绑资料勒索的话,企业根本没机会商量赎金杀价与否,只有乖乖支付赎金一条路而已。
勒索软件出现“帮派化”现象
综观现在勒索软件的散播管道上,有些是是透过恶意程式服务平台Malware as a Service(MaaS)的傀儡网络(Botnet)上架,丛培侃解释,这就类似有规模的帮派,各地有堂口帮忙乔事情。
常见的傀儡网络包括:今年1月才被八国联军抄底的Emotet,以及常见的Trickbot、Zeus和Dridex等,而使用的攻击手法精良,类似APT渗透技能,像是:BloodHound、Cobalt Strike、Empire等。
他也说,骇客集团要在恶意程式服务平台上架勒索软件,支付成本相对高,所以会锁定有支付能力的大型制造业、高科技制造业等金鸡母,这些大型企业经常是财报发表后,就遭到骇客集团勒索。
也因为骇客投注很多的成本,为了达到让企业支付赎金的目的而不择手段,所以,企业要跟骇客杀价赎金的空间就比较小,甚至还有难缠的无良骇客——即便拿到赎金,也不打算或是无法将档案解密。
供应链所费不赀,骇客专挑知名企业勒索,因对方能付赎金
目前常见的攻击流程可以分成三层式,第一层,也是整个勒索即服务的最上游,骇客组织透过傀儡网络散布勒索软件,例如Emotet或是Trickbot等;第二层就是中游,则是勒索软件供应商,像是Conti、Ryuk,或是 BazarLoader等,虽然上游之一的Emotet被执法单位抄底,但这些勒索软件供应商可以花时间,再找其他的MaaS平台上架即可;第三层就是下游,也是这整个勒索即服务流程中的受骇企业。
由上述的流程可以发现,骇客透过MaaS傀儡网络平台上架勒索软件,所费不赀,在每一个环节都必须支付不少成本,因此,如果受骇企业不愿意支付赎金的话,骇客集团就无法付钱给上游和中游的供应链业者,他们也就会亏本。
这也是为什么,骇客集团会精准锁定营收好、好打、国际知名,且加密档案被解密后,还会愿意支付赎金的企业,作为标的,并且会不择手段逼迫企业支付赎金。像是,以色列业者Clearsky追踪骇客集团Conti数位货币钱包位址的动向,他们发现,当骇客集团收到企业赎金后,数位货币的金流会流向其他上游厂商。
此外,为了确保企业一定会付赎金,除了加密档案向企业勒索外,也会在加密前先备份企业档案,如果企业不愿意之付赎金解密档案的时候,骇客就会威胁将“骇客备份”的资料外泄到暗网中,这也是企业最担心、恐惧的部分。丛培侃认为,骇客组织对企业的各种威吓手段,除了利用工具加密外,也包含不少恫吓受害者内心的攻防手段在内。
此外,也有不用恶意程式服务平台上架的勒索软件,他说,因为骇客集团不需要支付软件上架等其他太多成本,这些骇客集团就像是一般街头小混混,锁定防护能力较弱的中小型制造业、医院、学校或知名企业等。
因为使用的手法粗糙、没有客制化病毒的能力,所以企业在跟这类骇客集团进行赎金谈判时,沟通看起来相对容易,有比较大的杀价空间,但勒索软件本身的漏洞多,有时候,企业被加密的档案,骇客集团不一定有办法解开。
丛培侃表示,暗网有很多兜售勒索软件的一站式服务,把勒索软件当成一种服务贩售,也就是Ransomware-as-a-Service(勒索软件即服务),骇客不仅可以自己产生加密金钥、躲避侦测组合,还可以自定勒索讯息和选择想要加密的档案类型。他说,这些骇客多来自东欧、乌克兰等地,相关勒索软件即服务看起来人人都可以轻易上手使用,任意发起小规模攻击,还是会有企业付钱,
发动一次勒索,平均可以获得五颗比特币(25万美金)赎金,但他强调,这些恶意程式本身都藏有后门程式,一旦使用者启用了该服务去进行勒索,骇客作者不仅知道谁用的、勒索谁,连使用者在哪里都一清二楚,因此,千万不要随便去暗网买个勒索即服务,就觉得可以轻易赚到企业的赎金,其中有很高的风险和危险性。
他指出,以前的金融木马是为了取得银行账号作为洗钱之用,现在的金融木马却是采用敏捷开发、实践软件迭代开发的病毒。
举例而言,Dridex、Trickbot、Emotet都是常见的金融木马,多年发展下来,程式本身自我混淆和规避侦测技术能力强,持续改良通讯架构,像是Dridex便大量使用VEH(Vectord Exception Handling)进行程式解密,并透过线上软件更新(In Line Patch)方式做动态修改;而许多勒索软件也会透过钓鱼信件发送,传统invoice.zip的钓鱼信件样本,已经持续进化成更符合真实社会、更精准的钓鱼信件,并会在模拟真实的档案中“加料”。
勒索软件多透过傀儡网络散布,年初扫荡Emotet有益于打击声势
在2020年10月,微软曾出手打击Trickbot傀儡网络,当时并没有成功剿灭,但今年1月27日由德国发起的八国联军抄底最大规模傀儡网络Emotet,不仅扫荡相关的命令与控制服务器(中继站)的基础设施,乌克兰更逮捕到两名Emotet系统管理员,证明此次扫荡行动让Emotet大受打击。
对此,丛培侃认为,台湾也应该要向国际刑警组织提出要求,加入全球类似的网络犯罪组织的联合稽查、扫荡非法的行动,都有助于提升台湾国家的资安实力。
关于先前鸿海在墨西哥的厂区,遭到骇客集团DoppelPaymer勒索软件的恐吓事件,外传有1,200台服务器遭到骇客绑架,并有20TB到30TB的加密资料遭到骇客删除。对此,丛培侃表示,DoppelPaymer病毒是BitPaymer勒索病毒的变种,从2019年便陆续出现于几起勒索攻击事件中。
勒索软件攻击若要得逞,我们可以进一步分析常见的入侵手法,一般而言,骇客透过远端桌面帐密及漏洞获取权限后,便在企业电脑中植入Dridex病毒以窃取资料,然后,透过永恒之蓝(EternalBlue)或Zerologon的漏洞,在企业内横向移动并取得企业内AD(目录服务)控制权后,伺机发动大规模勒索攻击。
他也说,该骇客集团除加密档案外,也同时恐吓受骇企业用户,如果企业不愿意支付赎金的话,骇客将会在暗网泄漏企业资料,借此恐吓受骇企业支付高额赎金。包括电脑制造业者仁宝科技在内,都是透过Dridex、Emotet等垃圾邮件邮件散布勒索程式。
另外,工业电脑大厂研华也传出遭到勒索软件Conti外泄一批3GB的内部资料,这也证实骇客集团为了逼迫受骇企业支付赎金,会外泄部分内部资料,证明他们的确拥有受骇企业的内部资料。
其实,关于勒索软件的散播,不管是DoppelPaymer,或是conti,以及类似的Ruyk,都是透过像是Dridex、Trickbot或是Emote对外散布,其中,最早出现在去年七月的Conti勒索软件,专门锁定金融及教育产业、私人企业、-部门、健康及医疗产业、大型与中小型企业,几乎可以想见的企业都包括在内,一直到今年初,Conti则成为最常见的勒索软件之一。
骇客为确保赎金到手,不仅加密资料还向受害者恐吓外泄
勒索软件也可以依照规模,区分成三类,丛培侃表示,第一级属于组织庞大、演化许久的勒索软件,像是攻透过Dridexn散布的DoppelPaymer(攻击鸿海),或是其他常见的Egregor、Maze勒索软件,下面还包括其他类似的勒索软件,像是Netwalker、Revil(外传攻击宏碁电脑Acer的骇客集团)、透过Emotet散布的Ryuk,以及透过Dridex散布的、攻击卫服部的GlobeImposter等,都是属于又资深、规模又大的第一级勒索软件。
第二级则是规模次之、较为新进的勒索软件,常见的Conti、WastedLocker,或是其他的Avaddon、IOCP、 Clop、Darside、Pysa/Mespinoza、Ragnar、Ranzy、SunCryptThanos都归于此类。第三级则是更新、规模小也比较不常见的勒索软件,包括:Cvartk、Exorcist、Gothmog、Lolkek、Muchlove、Nemty、Rush、Wally、XINOF和Zeoticus等。
而上述每一级的勒索软件,都会利用其网络犯罪集团的黑产供应链,目的就是要逼受骇企业之付赎金。
因为勒索软件持续进化,丛培侃表示,现在进入勒索软件2.0的时代,骇客追求更聪明、更快、更有效率,希望做到在最短时间内,加密最多档案以达到最大破坏力,他说:“勒索软件2.0更是实践档案加密最佳化的案例。”
随着勒索软件2.0发展,勒索软件也升级SEEL四部曲,先“偷(Steal)”,接着“加密(Encrypt)”,之后“勒索(Extort)”,最终“外泄(Leak)”。
丛培侃表示,偷的部分,主要是使用APT手法入侵,攻击大部分人为操作部分,锁定单位AD(目录服务)主机,锁定重要资料,例如HR、SAP REP、MES、财会系统等资料,再传输到云端硬盘。
紧接着加密部分,在AD服务器部署加密程式,并在AD设定定时炸弹,实施档案加密阶段;勒索的作法则包括:在暗网外泄相关档案资料的资讯后,寄给受骇企业IT人员相关勒索讯息,并同步持续窃取企业资料;外泄则像是挤牙膏一样,逐步泄漏企业资料,也会公布外泄资料进度比例。
不过,他也说,骇客为了达到逼迫受骇企业支付赎金的目的,在勒索软件加密企业电脑后,骇客也会针对受骇企业的IT、资安或CSIRT人员广发信件,并威胁企业如果不付赎金的话,就会在暗网公布外泄资料,而这种加密资料又威胁外泄资料的作法,称之为双重勒索。不过,丛培侃也笑说,当企业在暗网外泄资料达百分之百后,企业的资料就成为开放资料,网络上都可以找回来,但多数企业都等不到这个时候,也无法接受这样的建议。因为骇客背后通常是庞大的组织,很难对锁定攻击的企业收手,除非,骇客打不赢受骇企业。文☉黄彦棻
常见的勒索软件攻击流程以分成三层,最上游是指骇客组织透过傀儡网络散布勒索软件,例如Emotet或是Trickbot等;中游则是勒索软件供应商,像是Conti、Ryuk,或是 BazarLoader等,虽然上游之一的Emotet被执法单位抄底,但这些勒索软件供应商可以再找其他的MaaS平台上架;下游是指整个勒索即服务流程中的受骇企业。
图片来源/奥义智慧
暗网有很多兜售勒索软件的一站式服务,把勒索软件当成一种服务贩售,也就是Ransomware-as-a-Service(勒索软件即服务),骇客不仅可以自己产生加密金钥、躲避侦测组合,还可以自定勒索讯息和选择想要加密的档案类型。
图片来源/奥义智慧
勒索软件依照规模可分成三类,第一级属于组织庞大、演化许久的勒索软件,第二级则是规模次之、较为新进的勒索软件,第三级则是更新、规模小也比较不常见的勒索软件。
图片来源/奥义智慧
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09