微軟：人為操縱的勒索軟體攻擊愈來愈危險

微軟的威脅保護情報（Threat Protection Intelligence）團隊在上周提出警告，人為操縱的勒索軟體活動，對企業造成的威脅日益增加，也是今日網路攻擊中最具影響力的趨勢，有別於自動散布的勒索軟體，這些操作勒索軟體攻擊行動的駭客們，通常具備廣泛的系統管理知識，也熟悉常見的網路安全錯誤配置，可進行徹底的偵察，並因應系統狀況展開攻擊。

該團隊長期觀察特定勒索軟體與相關攻擊活動，找出了重疊的攻擊方式，以與外界分析，同時強調相關的攻擊皆可預防及檢測。

調查顯示，人為操縱的勒索軟體攻擊活動通常可在網路中暢行無礙，駭客危害了具備高權限的帳號，繼之擴充權限，或使用憑證傾倒技術入侵網路，相關的攻擊活動，經常始於諸如金融木馬或其它不太複雜的惡意程式，它會觸動組織內部的偵測警告並被防毒解決方案阻擋，但繼之駭客會部署不同的酬載或使用管理權限來關閉防毒軟體，以避免引起任何注意。

例如有一個非常活躍的PARINACOTA駭客集團，平均每周攻擊3到4個組織，該集團在受害電腦上植入的惡意程式與時俱進，從挖礦程式、傳送垃圾郵件或是將受害裝置變成殭屍電腦，到現在則以Wadhrama勒索軟體為主。

PARINACOTA最常以暴力攻擊曝露在網路上的遠端桌面協定（RDP），入侵伺服器後即可於組織網路中，橫向移動或企圖轉移到外部網路，以擴大攻擊目標，繼之關閉安全解決方案、竊取憑證、植入後門，再部署其它惡意程式及勒索軟體。

另一個近來因贖金高達數百萬美元而知名度大增的勒索軟體為Doppelpaymer，Doppelpaymer的攻擊鏈同樣是從暴力破解RDP開始，也會使用金融木馬，成功入侵組織後再竊取憑證並擴張權限，並在網路中游移，也會關閉網路中的安全服務，再部署勒索軟體。

專門鎖定大型企業及政府組織的Ryuk，也成為微軟追蹤的重點。Ryuk一開始是透過電子郵件自動散布，但後來就被駭客相中而成為人為操縱的工具，駭客先是透過Trickbot金融木馬入侵組織，接著也是安裝其它惡意程式、竊取憑證，直至最終完成Ryuk勒索軟體的部署。

上述人為操縱的勒索軟體攻擊行動都有一些共同點，像是它們都先以與勒索軟體無關的惡意程式進行感染，企圖關閉安全機制，竊取憑證，在企業網路中橫向移動以偵察或擴大感染範圍，從開始到成功部署勒索軟體的時間，可能長達幾周甚至幾個月，值得注意的是，有時就算被駭組織已經支付了贖金，但駭客可能依然藉由勒索軟體以外的惡意程式進駐在組織中，這也是同一目標會被重覆攻擊的主因之一。

因此，微軟威脅保護情報團隊建議組織的IT管理人員，不要輕忽惡意程式警報，因為它們可能是駭客正在展開攻擊的前奏，也應強化網路資產的安全性，監控暴力破解事件與安全日誌，啟用安全服務的篡改保護機制，或是善用雲端或防火牆等資安服務等。