勒索软件大转型，防御难度提升：黒产供应链经营成本高，锁定有能力付赎金的知名企业

勒索软件为了提高勒索的成功率，也开始数位转型，尤其是一些骇客集团开始锁定大型企业作为狩猎（Big game hunter）标的。也就是说，这些骇客集团为了确保被勒索的企业，有能力且有意愿支付勒索赎金，从过往漫天撒网的掳资料、加密勒索的方式，进阶到锁定特定产业或特定企业的针对式勒索。

因为加密货币出现，解决以往骇客集团最伤脑筋的金流问题，也带动各种不同骇客集团开始透过勒索软件加密企业资料的方式，向受骇企业要求支付赎金。

面对勒索软件持续进化、锁定知名企业下手，以及黒色产业供应链的种种发展态势，台湾资安公司奥义智慧共同创办人丛培侃日前在HITCON Freetalk的研讨会中，提出他们的观察分析。

近期，骇客组织为了确保赎金一定到手，已经启动了“双重勒赎”的作法，意即骇客集团在加密企业资料之前，也同步备份一份企业资料，一旦企业不愿意针对加密资料支付赎金，骇客集团便威胁在网络上公布企业的机敏资料。“骇客透过加密档案以及外泄机敏资料的双重手法，确保企业一定肯支付赎金的作法，就是双重勒赎。”他说。

面对骇客集团的勒索，企业也担心：一旦骇客公布企业机敏资料该怎么办？受骇新闻若持续发酵，是否会影响公司正常营运？生产供应是否受创？是否违反当地法遵要求的压力和恐惧。同时，因为不知道骇客是从什么地方入侵企业，也不知道未来是否还会持续入侵？受骇后，有哪些资安解决方案可以派上用场？

甚至于，企业为了即时恢复系统运作，电脑重灌成为最常见的手法，但也因此毁掉许多骇客入侵的轨迹和相关的登录档（Log），就连是否应该支付赎金的决策，都得在更短的时间内做决定，这也使得找到骇客入侵企业的根因，更是难上加难。

丛培侃坦言，企业为了第一时间恢复正常营运、系统可以上线维运，资安业者在协助企业处理勒索软件的过程中，就是一场和时间赛跑的竞赛。而这些受骇企业对资安业者的要求就是，将解密被勒索软件加密的企业资料和档案，最好能够无缝让企业的系统上线运作。但事实上，企业的要求和资安公司可以提供的解决方案之间，往往有很大的落差。

他也以过往协助客户面对勒索软件威胁的经验表示，资安业者必须要识别勒索软件的种类，评估有没有办法解密、算法有没有漏洞、采用何种加密方式，甚至也要针对骇客集团进行背景调查。

因为，如果是遇到恶名昭彰的骇客集团绑资料勒索的话，企业根本没机会商量赎金杀价与否，只有乖乖支付赎金一条路而已。

勒索软件出现“帮派化”现象

综观现在勒索软件的散播管道上，有些是是透过恶意程式服务平台Malware as a Service（MaaS）的傀儡网络（Botnet）上架，丛培侃解释，这就类似有规模的帮派，各地有堂口帮忙乔事情。

常见的傀儡网络包括：今年1月才被八国联军抄底的Emotet，以及常见的Trickbot、Zeus和Dridex等，而使用的攻击手法精良，类似APT渗透技能，像是：BloodHound、Cobalt Strike、Empire等。

他也说，骇客集团要在恶意程式服务平台上架勒索软件，支付成本相对高，所以会锁定有支付能力的大型制造业、高科技制造业等金鸡母，这些大型企业经常是财报发表后，就遭到骇客集团勒索。

也因为骇客投注很多的成本，为了达到让企业支付赎金的目的而不择手段，所以，企业要跟骇客杀价赎金的空间就比较小，甚至还有难缠的无良骇客——即便拿到赎金，也不打算或是无法将档案解密。

供应链所费不赀，骇客专挑知名企业勒索，因对方能付赎金

目前常见的攻击流程可以分成三层式，第一层，也是整个勒索即服务的最上游，骇客组织透过傀儡网络散布勒索软件，例如Emotet或是Trickbot等；第二层就是中游，则是勒索软件供应商，像是Conti、Ryuk，或是 BazarLoader等，虽然上游之一的Emotet被执法单位抄底，但这些勒索软件供应商可以花时间，再找其他的MaaS平台上架即可；第三层就是下游，也是这整个勒索即服务流程中的受骇企业。

由上述的流程可以发现，骇客透过MaaS傀儡网络平台上架勒索软件，所费不赀，在每一个环节都必须支付不少成本，因此，如果受骇企业不愿意支付赎金的话，骇客集团就无法付钱给上游和中游的供应链业者，他们也就会亏本。

这也是为什么，骇客集团会精准锁定营收好、好打、国际知名，且加密档案被解密后，还会愿意支付赎金的企业，作为标的，并且会不择手段逼迫企业支付赎金。像是，以色列业者Clearsky追踪骇客集团Conti数位货币钱包位址的动向，他们发现，当骇客集团收到企业赎金后，数位货币的金流会流向其他上游厂商。

此外，为了确保企业一定会付赎金，除了加密档案向企业勒索外，也会在加密前先备份企业档案，如果企业不愿意之付赎金解密档案的时候，骇客就会威胁将“骇客备份”的资料外泄到暗网中，这也是企业最担心、恐惧的部分。丛培侃认为，骇客组织对企业的各种威吓手段，除了利用工具加密外，也包含不少恫吓受害者内心的攻防手段在内。

此外，也有不用恶意程式服务平台上架的勒索软件，他说，因为骇客集团不需要支付软件上架等其他太多成本，这些骇客集团就像是一般街头小混混，锁定防护能力较弱的中小型制造业、医院、学校或知名企业等。

因为使用的手法粗糙、没有客制化病毒的能力，所以企业在跟这类骇客集团进行赎金谈判时，沟通看起来相对容易，有比较大的杀价空间，但勒索软件本身的漏洞多，有时候，企业被加密的档案，骇客集团不一定有办法解开。

丛培侃表示，暗网有很多兜售勒索软件的一站式服务，把勒索软件当成一种服务贩售，也就是Ransomware-as-a-Service（勒索软件即服务），骇客不仅可以自己产生加密金钥、躲避侦测组合，还可以自定勒索讯息和选择想要加密的档案类型。他说，这些骇客多来自东欧、乌克兰等地，相关勒索软件即服务看起来人人都可以轻易上手使用，任意发起小规模攻击，还是会有企业付钱，

发动一次勒索，平均可以获得五颗比特币（25万美金）赎金，但他强调，这些恶意程式本身都藏有后门程式，一旦使用者启用了该服务去进行勒索，骇客作者不仅知道谁用的、勒索谁，连使用者在哪里都一清二楚，因此，千万不要随便去暗网买个勒索即服务，就觉得可以轻易赚到企业的赎金，其中有很高的风险和危险性。

他指出，以前的金融木马是为了取得银行账号作为洗钱之用，现在的金融木马却是采用敏捷开发、实践软件迭代开发的病毒。

举例而言，Dridex、Trickbot、Emotet都是常见的金融木马，多年发展下来，程式本身自我混淆和规避侦测技术能力强，持续改良通讯架构，像是Dridex便大量使用VEH（Vectord Exception Handling）进行程式解密，并透过线上软件更新（In Line Patch）方式做动态修改；而许多勒索软件也会透过钓鱼信件发送，传统invoice.zip的钓鱼信件样本，已经持续进化成更符合真实社会、更精准的钓鱼信件，并会在模拟真实的档案中“加料”。

勒索软件多透过傀儡网络散布，年初扫荡Emotet有益于打击声势

在2020年10月，微软曾出手打击Trickbot傀儡网络，当时并没有成功剿灭，但今年1月27日由德国发起的八国联军抄底最大规模傀儡网络Emotet，不仅扫荡相关的命令与控制服务器（中继站）的基础设施，乌克兰更逮捕到两名Emotet系统管理员，证明此次扫荡行动让Emotet大受打击。

对此，丛培侃认为，台湾也应该要向国际刑警组织提出要求，加入全球类似的网络犯罪组织的联合稽查、扫荡非法的行动，都有助于提升台湾国家的资安实力。

关于先前鸿海在墨西哥的厂区，遭到骇客集团DoppelPaymer勒索软件的恐吓事件，外传有1,200台服务器遭到骇客绑架，并有20TB到30TB的加密资料遭到骇客删除。对此，丛培侃表示，DoppelPaymer病毒是BitPaymer勒索病毒的变种，从2019年便陆续出现于几起勒索攻击事件中。

勒索软件攻击若要得逞，我们可以进一步分析常见的入侵手法，一般而言，骇客透过远端桌面帐密及漏洞获取权限后，便在企业电脑中植入Dridex病毒以窃取资料，然后，透过永恒之蓝（EternalBlue）或Zerologon的漏洞，在企业内横向移动并取得企业内AD（目录服务）控制权后，伺机发动大规模勒索攻击。

他也说，该骇客集团除加密档案外，也同时恐吓受骇企业用户，如果企业不愿意支付赎金的话，骇客将会在暗网泄漏企业资料，借此恐吓受骇企业支付高额赎金。包括电脑制造业者仁宝科技在内，都是透过Dridex、Emotet等垃圾邮件邮件散布勒索程式。
另外，工业电脑大厂研华也传出遭到勒索软件Conti外泄一批3GB的内部资料，这也证实骇客集团为了逼迫受骇企业支付赎金，会外泄部分内部资料，证明他们的确拥有受骇企业的内部资料。

其实，关于勒索软件的散播，不管是DoppelPaymer，或是conti，以及类似的Ruyk，都是透过像是Dridex、Trickbot或是Emote对外散布，其中，最早出现在去年七月的Conti勒索软件，专门锁定金融及教育产业、私人企业、-部门、健康及医疗产业、大型与中小型企业，几乎可以想见的企业都包括在内，一直到今年初，Conti则成为最常见的勒索软件之一。

骇客为确保赎金到手，不仅加密资料还向受害者恐吓外泄

勒索软件也可以依照规模，区分成三类，丛培侃表示，第一级属于组织庞大、演化许久的勒索软件，像是攻透过Dridexn散布的DoppelPaymer（攻击鸿海），或是其他常见的Egregor、Maze勒索软件，下面还包括其他类似的勒索软件，像是Netwalker、Revil（外传攻击宏碁电脑Acer的骇客集团）、透过Emotet散布的Ryuk，以及透过Dridex散布的、攻击卫服部的GlobeImposter等，都是属于又资深、规模又大的第一级勒索软件。

第二级则是规模次之、较为新进的勒索软件，常见的Conti、WastedLocker，或是其他的Avaddon、IOCP、 Clop、Darside、Pysa/Mespinoza、Ragnar、Ranzy、SunCryptThanos都归于此类。第三级则是更新、规模小也比较不常见的勒索软件，包括：Cvartk、Exorcist、Gothmog、Lolkek、Muchlove、Nemty、Rush、Wally、XINOF和Zeoticus等。

而上述每一级的勒索软件，都会利用其网络犯罪集团的黑产供应链，目的就是要逼受骇企业之付赎金。

因为勒索软件持续进化，丛培侃表示，现在进入勒索软件2.0的时代，骇客追求更聪明、更快、更有效率，希望做到在最短时间内，加密最多档案以达到最大破坏力，他说：“勒索软件2.0更是实践档案加密最佳化的案例。”

随着勒索软件2.0发展，勒索软件也升级SEEL四部曲，先“偷（Steal）”，接着“加密（Encrypt）”，之后“勒索（Extort）”，最终“外泄（Leak）”。

丛培侃表示，偷的部分，主要是使用APT手法入侵，攻击大部分人为操作部分，锁定单位AD（目录服务）主机，锁定重要资料，例如HR、SAP REP、MES、财会系统等资料，再传输到云端硬盘。

紧接着加密部分，在AD服务器部署加密程式，并在AD设定定时炸弹，实施档案加密阶段；勒索的作法则包括：在暗网外泄相关档案资料的资讯后，寄给受骇企业IT人员相关勒索讯息，并同步持续窃取企业资料；外泄则像是挤牙膏一样，逐步泄漏企业资料，也会公布外泄资料进度比例。

不过，他也说，骇客为了达到逼迫受骇企业支付赎金的目的，在勒索软件加密企业电脑后，骇客也会针对受骇企业的IT、资安或CSIRT人员广发信件，并威胁企业如果不付赎金的话，就会在暗网公布外泄资料，而这种加密资料又威胁外泄资料的作法，称之为双重勒索。不过，丛培侃也笑说，当企业在暗网外泄资料达百分之百后，企业的资料就成为开放资料，网络上都可以找回来，但多数企业都等不到这个时候，也无法接受这样的建议。因为骇客背后通常是庞大的组织，很难对锁定攻击的企业收手，除非，骇客打不赢受骇企业。文☉黄彦棻

常见的勒索软件攻击流程以分成三层，最上游是指骇客组织透过傀儡网络散布勒索软件，例如Emotet或是Trickbot等；中游则是勒索软件供应商，像是Conti、Ryuk，或是 BazarLoader等，虽然上游之一的Emotet被执法单位抄底，但这些勒索软件供应商可以再找其他的MaaS平台上架；下游是指整个勒索即服务流程中的受骇企业。

图片来源/奥义智慧

暗网有很多兜售勒索软件的一站式服务，把勒索软件当成一种服务贩售，也就是Ransomware-as-a-Service（勒索软件即服务），骇客不仅可以自己产生加密金钥、躲避侦测组合，还可以自定勒索讯息和选择想要加密的档案类型。

图片来源/奥义智慧

勒索软件依照规模可分成三类，第一级属于组织庞大、演化许久的勒索软件，第二级则是规模次之、较为新进的勒索软件，第三级则是更新、规模小也比较不常见的勒索软件。

图片来源/奥义智慧