奧義智慧
勒索軟體為了提高勒索的成功率,也開始數位轉型,尤其是一些駭客集團開始鎖定大型企業作為狩獵(Big game hunter)標的。也就是說,這些駭客集團為了確保被勒索的企業,有能力且有意願支付勒索贖金,從過往漫天撒網的擄資料、加密勒索的方式,進階到鎖定特定產業或特定企業的針對式勒索。
因為加密貨幣出現,解決以往駭客集團最傷腦筋的金流問題,也帶動各種不同駭客集團開始透過勒索軟體加密企業資料的方式,向受駭企業要求支付贖金。
面對勒索軟體持續進化、鎖定知名企業下手,以及黒色產業供應鏈的種種發展態勢,臺灣資安公司奧義智慧共同創辦人叢培侃日前在HITCON Freetalk的研討會中,提出他們的觀察分析。
近期,駭客組織為了確保贖金一定到手,已經啟動了「雙重勒贖」的作法,意即駭客集團在加密企業資料之前,也同步備份一份企業資料,一旦企業不願意針對加密資料支付贖金,駭客集團便威脅在網路上公布企業的機敏資料。「駭客透過加密檔案以及外洩機敏資料的雙重手法,確保企業一定肯支付贖金的作法,就是雙重勒贖。」他說。
面對駭客集團的勒索,企業也擔心:一旦駭客公布企業機敏資料該怎麼辦?受駭新聞若持續發酵,是否會影響公司正常營運?生產供應是否受創?是否違反當地法遵要求的壓力和恐懼。同時,因為不知道駭客是從什麼地方入侵企業,也不知道未來是否還會持續入侵?受駭後,有哪些資安解決方案可以派上用場?
甚至於,企業為了即時恢復系統運作,電腦重灌成為最常見的手法,但也因此毀掉許多駭客入侵的軌跡和相關的登錄檔(Log),就連是否應該支付贖金的決策,都得在更短的時間內做決定,這也使得找到駭客入侵企業的根因,更是難上加難。
叢培侃坦言,企業為了第一時間恢復正常營運、系統可以上線維運,資安業者在協助企業處理勒索軟體的過程中,就是一場和時間賽跑的競賽。而這些受駭企業對資安業者的要求就是,將解密被勒索軟體加密的企業資料和檔案,最好能夠無縫讓企業的系統上線運作。但事實上,企業的要求和資安公司可以提供的解決方案之間,往往有很大的落差。
他也以過往協助客戶面對勒索軟體威脅的經驗表示,資安業者必須要識別勒索軟體的種類,評估有沒有辦法解密、演算法有沒有漏洞、採用何種加密方式,甚至也要針對駭客集團進行背景調查。
因為,如果是遇到惡名昭彰的駭客集團綁資料勒索的話,企業根本沒機會商量贖金殺價與否,只有乖乖支付贖金一條路而已。
勒索軟體出現「幫派化」現象
綜觀現在勒索軟體的散播管道上,有些是透過惡意程式服務平臺Malware as a Service(MaaS)的傀儡網路(Botnet)上架,叢培侃解釋,這就類似有規模的幫派,各地有堂口幫忙喬事情。
常見的傀儡網路包括:今年1月才被八國聯軍抄底的Emotet,以及常見的Trickbot、Zeus和Dridex等,而使用的攻擊手法精良,類似APT滲透技能,像是:BloodHound、Cobalt Strike、Empire等。
他也說,駭客集團要在惡意程式服務平臺上架勒索軟體,支付成本相對高,所以會鎖定有支付能力的大型製造業、高科技製造業等金雞母,這些大型企業經常是財報發表後,就遭到駭客集團勒索。
也因為駭客投注很多的成本,為了達到讓企業支付贖金的目的而不擇手段,所以,企業要跟駭客殺價贖金的空間就比較小,甚至還有難纏的無良駭客——即便拿到贖金,也不打算或是無法將檔案解密。
供應鏈所費不貲,駭客專挑知名企業勒索,因對方能付贖金
目前常見的攻擊流程可以分成三層式,第一層,也是整個勒索即服務的最上游,駭客組織透過傀儡網路散布勒索軟體,例如Emotet或是Trickbot等;第二層就是中游,則是勒索軟體供應商,像是Conti、Ryuk,或是 BazarLoader等,雖然上游之一的Emotet被執法單位抄底,但這些勒索軟體供應商可以花時間,再找其他的MaaS平臺上架即可;第三層就是下游,也是這整個勒索即服務流程中的受駭企業。
由上述的流程可以發現,駭客透過MaaS傀儡網路平臺上架勒索軟體,所費不貲,在每一個環節都必須支付不少成本,因此,如果受駭企業不願意支付贖金的話,駭客集團就無法付錢給上游和中游的供應鏈業者,他們也就會虧本。
這也是為什麼,駭客集團會精準鎖定營收好、好打、國際知名,且加密檔案被解密後,還會願意支付贖金的企業,作為標的,並且會不擇手段逼迫企業支付贖金。像是,以色列業者Clearsky追蹤駭客集團Conti數位貨幣錢包位址的動向,他們發現,當駭客集團收到企業贖金後,數位貨幣的金流會流向其他上游廠商。
此外,為了確保企業一定會付贖金,除了加密檔案向企業勒索外,也會在加密前先備份企業檔案,如果企業不願意之付贖金解密檔案的時候,駭客就會威脅將「駭客備份」的資料外洩到暗網中,這也是企業最擔心、恐懼的部份。叢培侃認為,駭客組織對企業的各種威嚇手段,除了利用工具加密外,也包含不少恫嚇受害者內心的攻防手段在內。
此外,也有不用惡意程式服務平臺上架的勒索軟體,他說,因為駭客集團不需要支付軟體上架等其他太多成本,這些駭客集團就像是一般街頭小混混,鎖定防護能力較弱的中小型製造業、醫院、學校或知名企業等。
因為使用的手法粗糙、沒有客製化病毒的能力,所以企業在跟這類駭客集團進行贖金談判時,溝通看起來相對容易,有比較大的殺價空間,但勒索軟體本身的漏洞多,有時候,企業被加密的檔案,駭客集團不一定有辦法解開。
叢培侃表示,暗網有很多兜售勒索軟體的一站式服務,把勒索軟體當成一種服務販售,也就是Ransomware-as-a-Service(勒索軟體即服務),駭客不僅可以自己產生加密金鑰、躲避偵測組合,還可以自定勒索訊息和選擇想要加密的檔案類型。他說,這些駭客多來自東歐、烏克蘭等地,相關勒索軟體即服務看起來人人都可以輕易上手使用,任意發起小規模攻擊,還是會有企業付錢,
發動一次勒索,平均可以獲得五顆比特幣(25萬美金)贖金,但他強調,這些惡意程式本身都藏有後門程式,一旦使用者啟用了該服務去進行勒索,駭客作者不僅知道誰用的、勒索誰,連使用者在哪裡都一清二楚,因此,千萬不要隨便去暗網買個勒索即服務,就覺得可以輕易賺到企業的贖金,其中有很高的風險和危險性。
他指出,以前的金融木馬是為了取得銀行帳號作為洗錢之用,現在的金融木馬卻是採用敏捷開發、實踐軟體迭代開發的病毒。
舉例而言,Dridex、Trickbot、Emotet都是常見的金融木馬,多年發展下來,程式本身自我混淆和規避偵測技術能力強,持續改良通訊架構,像是Dridex便大量使用VEH(Vectord Exception Handling)進行程式解密,並透過線上軟體更新(In Line Patch)方式做動態修改;而許多勒索軟體也會透過釣魚信件發送,傳統invoice.zip的釣魚信件樣本,已經持續進化成更符合真實社會、更精準的釣魚信件,並會在模擬真實的檔案中「加料」。
勒索軟體多透過傀儡網路散布,年初掃蕩Emotet有益於打擊聲勢
在2020年10月,微軟曾出手打擊Trickbot傀儡網路,當時並沒有成功剿滅,但今年1月27日由德國發起的八國聯軍抄底最大規模傀儡網路Emotet,不僅掃蕩相關的命令與控制伺服器(中繼站)的基礎設施,烏克蘭更逮捕到兩名Emotet系統管理員,證明此次掃蕩行動讓Emotet大受打擊。
對此,叢培侃認為,臺灣也應該要向國際刑警組織提出要求,加入全球類似的網路犯罪組織的聯合稽查、掃蕩非法的行動,都有助於提升臺灣國家的資安實力。
關於先前鴻海在墨西哥的廠區,遭到駭客集團DoppelPaymer勒索軟體的恐嚇事件,外傳有1,200臺伺服器遭到駭客綁架,並有20TB到30TB的加密資料遭到駭客刪除。對此,叢培侃表示,DoppelPaymer病毒是BitPaymer勒索病毒的變種,從2019年便陸續出現於幾起勒索攻擊事件中。
勒索軟體攻擊若要得逞,我們可以進一步分析常見的入侵手法,一般而言,駭客透過遠端桌面帳密及漏洞獲取權限後,便在企業電腦中植入Dridex病毒以竊取資料,然後,透過永恆之藍(EternalBlue)或Zerologon的漏洞,在企業內橫向移動並取得企業內AD(目錄服務)控制權後,伺機發動大規模勒索攻擊。
他也說,該駭客集團除加密檔案外,也同時恐嚇受駭企業用戶,如果企業不願意支付贖金的話,駭客將會在暗網洩漏企業資料,藉此恐嚇受駭企業支付高額贖金。包括電腦製造業者仁寶科技在內,都是透過Dridex、Emotet等垃圾郵件郵件散布勒索程式。
另外,工業電腦大廠研華也傳出遭到勒索軟體Conti外洩一批3GB的內部資料,這也證實駭客集團為了逼迫受駭企業支付贖金,會外洩部分內部資料,證明他們的確擁有受駭企業的內部資料。
其實,關於勒索軟體的散播,不管是DoppelPaymer,或是conti,以及類似的Ruyk,都是透過像是Dridex、Trickbot或是Emote對外散布,其中,最早出現在去年七月的Conti勒索軟體,專門鎖定金融及教育產業、私人企業、政府部門、健康及醫療產業、大型與中小型企業,幾乎可以想見的企業都包括在內,一直到今年初,Conti則成為最常見的勒索軟體之一。
駭客為確保贖金到手,不僅加密資料還向受害者恐嚇外洩
勒索軟體也可以依照規模,區分成三類,叢培侃表示,第一級屬於組織龐大、演化許久的勒索軟體,像是攻透過Dridexn散布的DoppelPaymer(攻擊鴻海),或是其他常見的Egregor、Maze勒索軟體,下面還包括其他類似的勒索軟體,像是Netwalker、Revil(外傳攻擊宏碁電腦Acer的駭客集團)、透過Emotet散布的Ryuk,以及透過Dridex散布的、攻擊衛服部的GlobeImposter等,都是屬於又資深、規模又大的第一級勒索軟體。
第二級則是規模次之、較為新進的勒索軟體,常見的Conti、WastedLocker,或是其他的Avaddon、IOCP、 Clop、Darside、Pysa/Mespinoza、Ragnar、Ranzy、SunCryptThanos都歸於此類。第三級則是更新、規模小也比較不常見的勒索軟體,包括:Cvartk、Exorcist、Gothmog、Lolkek、Muchlove、Nemty、Rush、Wally、XINOF和Zeoticus等。
而上述每一級的勒索軟體,都會利用其網路犯罪集團的黑產供應鏈,目的就是要逼受駭企業之付贖金。
因為勒索軟體持續進化,叢培侃表示,現在進入勒索軟體2.0的時代,駭客追求更聰明、更快、更有效率,希望做到在最短時間內,加密最多檔案以達到最大破壞力,他說:「勒索軟體2.0更是實踐檔案加密最佳化的案例。」
隨著勒索軟體2.0發展,勒索軟體也升級SEEL四部曲,先「偷(Steal)」,接著「加密(Encrypt)」,之後「勒索(Extort)」,最終「外洩(Leak)」。
叢培侃表示,偷的部份,主要是使用APT手法入侵,攻擊大部分人為操作部分,鎖定單位AD(目錄服務)主機,鎖定重要資料,例如HR、SAP REP、MES、財會系統等資料,再傳輸到雲端硬碟。
緊接著加密部分,在AD伺服器部署加密程式,並在AD設定定時炸彈,實施檔案加密階段;勒索的作法則包括:在暗網外洩相關檔案資料的資訊後,寄給受駭企業IT人員相關勒索訊息,並同步持續竊取企業資料;外洩則像是擠牙膏一樣,逐步洩漏企業資料,也會公布外洩資料進度比例。
不過,他也說,駭客為了達到逼迫受駭企業支付贖金的目的,在勒索軟體加密企業電腦後,駭客也會針對受駭企業的IT、資安或CSIRT人員廣發信件,並威脅企業如果不付贖金的話,就會在暗網公布外洩資料,而這種加密資料又威脅外洩資料的作法,稱之為雙重勒索。不過,叢培侃也笑說,當企業在暗網外洩資料達百分之百後,企業的資料就成為開放資料,網路上都可以找回來,但多數企業都等不到這個時候,也無法接受這樣的建議。因為駭客背後通常是龐大的組織,很難對鎖定攻擊的企業收手,除非,駭客打不贏受駭企業。文☉黃彥棻
常見的勒索軟體攻擊流程以分成三層,最上游是指駭客組織透過傀儡網路散布勒索軟體,例如Emotet或是Trickbot等;中游則是勒索軟體供應商,像是Conti、Ryuk,或是 BazarLoader等,雖然上游之一的Emotet被執法單位抄底,但這些勒索軟體供應商可以再找其他的MaaS平臺上架;下游是指整個勒索即服務流程中的受駭企業。
圖片來源/奧義智慧
暗網有很多兜售勒索軟體的一站式服務,把勒索軟體當成一種服務販售,也就是Ransomware-as-a-Service(勒索軟體即服務),駭客不僅可以自己產生加密金鑰、躲避偵測組合,還可以自定勒索訊息和選擇想要加密的檔案類型。
圖片來源/奧義智慧
勒索軟體依照規模可分成三類,第一級屬於組織龐大、演化許久的勒索軟體,第二級則是規模次之、較為新進的勒索軟體,第三級則是更新、規模小也比較不常見的勒索軟體。
圖片來源/奧義智慧
熱門新聞
2024-11-29
2024-11-20
2024-11-15
2024-11-15
2024-12-19