一波新的針對性攻擊利用新勒索病毒感染了數家台灣企業,我們將這隻勒索病毒稱為 ColdLock。這波攻擊帶有破壞性,因為勒索病毒似乎會針對資料庫和郵件伺服器進行加密。
我們所收集的資料顯示這波攻擊在5月初開始攻擊企業。分析惡意軟體顯示ColdLock與之前的勒索病毒家族Lockergoga,Freezing以及EDA2“教學用”勒索病毒套件間有相似之處。沒有跡象顯示這波勒索病毒攻擊了目標之外的組織。我們不認為這支病毒家族現在有被廣泛的使用。
趨勢科技使用者已經能夠抵禦此威脅,我們將其偵測為Ransom.MSIL.COLDLOCK.YPAE-A和Ransom.PS1.COLDLOCK.YPAE-A。底下的文章會描述此威脅的行為,並描述它與其他勒索病毒威脅的關聯。
繼續閱讀或許是因為許多政府機關在受害之後都願意支付贖金,所以勒索病毒犯罪集團 2019 年才會更密集地攻擊政府單位。 另外,去年有超過 700 家醫療機構遭到勒索病毒攻擊
勒索病毒受害者不僅要應付資料被加密的問題,還要面對資料可能外洩的災難。會自動將受害者的檔案複製到該集團伺服器的「Maze」, 刻意從它們竊取到的 32 GB 資料中釋出 2 GB ,以駁斥媒體宣稱他們只不過偷了幾個檔案而已。
REvil 勒索病毒則經由已遭駭的第三方軟體發動總贖金高達 250 萬美元的聯合攻擊行動
美國聯邦調查局 (FBI) 對於是否該支付贖金,仍維持堅定的否定立場。該局的網路犯罪調查部門引述一個案例指出,受害者原本是希望能支付贖金來取得解密金鑰,沒想到收到的金鑰卻反而讓所有的資料被清得一 乾二淨。
2019 年,勒索病毒犯罪集團改懸易轍,開始針對特定的機構進行攻擊,試圖入侵其關鍵資產、系統和服務 來獲取龐大利潤。策略的轉變促使他們採取一些新奇的技巧來讓他們迅速在受害者的網路內流竄,盡可能散布更多惡意程式。過去一年當中一項值得注意的駭客技巧就是入侵一些鮮少遭到攻擊的企業資源,例如:網域控制器 (Domain Controller) 和 Active Directory 目錄服務,目的是為了造成企業更嚴重的營運中斷,進而迫使企業乖乖就範,讓他們予取予求。
「存取服務」(access-as-a-service)
根據一項最新報導指出,一些專門提供所謂「存取服務」(access-as-a-service) 系統駭入專家正與勒索病毒集團合作,使得更多受害者遭到入侵。這兩種網路犯罪集團的結盟,讓惡意程式能夠更快散布至更多高獲利的目標,其中絕大多數都是企業網路。勒索病毒主要是仰賴新的受害者來延續其壽命,而這些專門滲透企業系統的駭客集團正好滿足了這方面的需求,他們專門出租或銷售各大企業網路的存取權限來牟利。
資安機構 Advanced Intelligence (AdvIntel) 在一份報告當中點出了地下犯罪集團彼此之間的複雜關係,以及各種不同惡意程式集團之間如何互相合作。正如 AdvIntel 在報告中所詳述,勒索病毒集團會利用各種策略來散布惡意程式,而專精網路入侵的駭客,則隨時都在想辦法善用他們的技能來賺錢。因此,兩者的結合等於是互利。
AdvIntel 舉「-TMT-」犯罪集團為例,該團體專門提供各種機構的網路存取權限與系統管理帳號密碼。從這份報告可看出該集團的受害者相當廣泛:
儘管人們對 資料外洩事件的新聞似乎已逐漸感到麻痺,但隨著更嚴格的資料保護法規上路,保護使用者資料安全反而更加重要。現在,企業發生資料外洩不但必須通報,而且若企業會經手歐盟人民的資料,將還可能面對歐盟通用資料保護法 (GDPR) 最高年營業額 4% 的罰鍰。
光是今年就有不少知名品牌發生資料外洩,如:Macy’s、 Bloomingdale’s 以及 Reddit。其實,資料外洩對社會大眾而言,是相當切身的問題。因為光是一次的資料外洩就很可能造成數百萬、甚至數億筆個人資料及敏感資訊外流,而且受影響的不光只有遭到入侵的企業而已,甚至包括每一個資料遭到外洩的個人。
所謂資料外洩事件,是指駭客入侵某個資料來源並且偷走敏感資料的事件。竊取的方式包括直接進入企業內部然後偷走電腦或網路上的檔案,或者從遠端突破企業的網路安全防禦,進入其網路內部竊取資料。企業遭駭客攻擊的情況多半為後者,一般來說,資料外洩事件的攻擊過程如下:
下表是截至目前為止所知的十大資料外洩事件:
繼續閱讀