勒索病毒在過去這段時間出現了許多變化,希望這篇文章能有助企業防範這波日益升高的攻擊趨勢。
支付1.23 億贖金卻換到不中用解密工具的美國最大燃油管道系統Colonial Pipeline 勒索病毒攻擊事件,只是歹徒正在醞釀的新一波勒索病毒攻擊開端,他們的目標是一些高價值企業。為何會出現這樣的趨勢?
勒索病毒集團的目標其實就是勒索贖金,因此他們會攻擊一些較容易因害怕營運中斷而支付贖金的企業機構。過去,我們看到歹徒會攻擊政府單位和教育機構,歹徒能造成的傷害越大,收到贖金的機率也就越高。
今日的勒索病毒攻擊已經過好幾個階段的演進,我們現在正處於勒索病毒攻擊發展的第四階段。以下摘要說明勒索病毒發展的四個階段:
🔴第 1 階段:單純只有勒索病毒。將檔案加密,留下一封勒索訊息,然後等著收錢 (比特幣)。
🔴第 2 階段:雙重勒索。第 1 階段 + 將資料外傳然後威脅公開資料。Maze 是第一個採用此手法的已知案例,隨後其他犯罪集團也立即跟進。
🔴第 3 階段:三重勒索。第 1 階段 + 第 2 階段,然後再搭配 DDoS 攻擊威脅。Avaddon 是第一個採用此手法的已知案例。
繼續閱讀趨勢科技 Trend Micro Research 在網路上蒐集了數十個 DarkSide 勒索病毒樣本,並研究了該勒索病毒集團的運作方式以及它所瞄準的目標。
本文已更新,增加了不少有關 DarkSide 受害者的參考資料。
5 月 7 日,一起勒索病毒攻擊造成負責美國東岸近半數油管運輸的 Colonial Pipeline 公司主動關閉營業,使得汽油、柴油、家用暖氣用油、噴射機用油、軍用油品全部受到嚴重衝擊。美國聯邦機動運輸安全管理局 (Federal Motor Carrier Safety Administration,簡稱 FMCSA) 在全美 18 州發布緊急狀態來緩解油品供應中斷的問題。
自駭客攻擊造成 Colonial Pipeline 營運關閉以來已經過了五天,該公司依舊沒辦法完全恢復營運。油品供應中斷已經開始影響車輛運輸,在 亞特蘭大 (Atlanta) 都會區,30% 的加油站都無油可賣,其他城市回報的數據也大致如此。為了維持民生必要油品的供應無虞,政府已發布囤積禁令。
美國聯邦調查局 (FBI) 確認此次攻擊的幕後元凶是來自東歐的 DarkSide 駭客集團,該集團所用的勒索病毒是一個相對較新的家族,首次在 2020 年 8 月現身,但該集團之前就曾經在一些網路犯罪行動當中得逞,因此累積了不少經驗。
除了將 Colonial Pipeline 的電腦系統鎖死之外, DarkSide 還竊取了超過 100 GB 的企業資料。這個竊取資料的動作反而更有殺傷力,該集團向來慣用雙重勒索的伎倆,不但會要求受害者支付贖金來解鎖電腦,還會竊取企業的資料並趁機敲詐一筆。我們後面會提到,事實上 DarkSide 在網路犯罪集團之間算是相當具有創新能力,率先開發出所謂的「四重勒索服務」。
該集團在 5 月 12 日又公布了三家受害企業:一家位於蘇格蘭的建設公司、一家巴西再生能源產品經銷商公司,以及一家美國科技服務經銷商。DarkSide 集團宣稱總共從這三家公司竊取了 1.9 GB 的資料,包括:用戶資料、財務資料、員工護照、合約等機敏資訊。
由於 DarkSide 採用 RaaS 勒索病毒服務 (Ransomware-as-a-service) 的經營模式,所以這三起攻擊背後很可能是三個不同的駭客團體所為。就連 DarkSide 集團自己也 承認他們只是購買了這些公司的網路存取權限 ,他們不曉得這些存取權限當初是如何取得。
繼續閱讀5 月 7 日,一起勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊造成負責美國東岸近半數油管運輸的 Colonial Pipeline 公司主動關閉營業,使得汽油、柴油、家用暖氣用油、噴射機用油、軍用油品全部受到嚴重衝擊。美國聯邦機動運輸安全管理局 (Federal Motor Carrier Safety Administration,簡稱 FMCSA) 在全美 18 州發布緊急狀態來緩解油品供應中斷的問題。自駭客攻擊造成 Colonial 營運關閉以來已經過了五天,該公司依舊沒辦法完全恢復營運。
油品供應中斷已經開始影響車輛運輸,在亞特蘭大 (Atlanta) 都會區, 30% 的加油站都無油可賣,其他城市回報的數據也大致如此。為了維持民生必要油品的供應無虞,政府已發布囤積禁令。
美國 聯邦調查局 (FBI) 確認此次攻擊的幕後元凶是 Darkside 駭客集團。Darkside 是一個相對較新的勒索病毒家族,首次在 2020 年 8 月現身,但該集團之前就曾經在一些網路犯罪行動當中得逞,因此累積了不少經驗。根據彭博社 (Bloomberg) 的新聞指出,駭客集團除了將 Colonial 公司的電腦系統鎖死之外,還竊取了超過 100GB 的企業資料。這個駭客集團向來慣用這種雙重勒索伎倆,不但會要求受害者支付贖金來解鎖電腦,還會竊取企業的資料並趁機敲詐一筆,如果受害者不乖乖付錢,他們就會公開偷來的資料。我們後面會提到,事實上 Darkside 在網路犯罪集團之間算是相當具有創新能力,率先開發出所謂的「四重勒索服務」。
Trend Micro Research 在網路上蒐集了數十個 Darkside 勒索病毒樣本,並研究了該勒索病毒的運作方式以及它所瞄準的目標。
三名據稱是 Egregor 勒索病毒 Ransomware (勒索軟體/綁架病毒)犯罪集團成員的嫌犯,二月在法國與烏克蘭政府聯合執行的一項行動當中遭到逮捕。這項逮捕行動是公私部門合作的共同成果,趨勢科技有幸參與其中。
Egregor 勒索病毒從 2020 年 9 月首次現身以來已發動過多起針對零售業、人力資源服務及其他企業機構的重大攻擊。該集團採用所謂勒索病毒服務 (Ransomware-as-a-service,簡稱 RaaS) 的經營模式,將勒索病毒銷售或出租給其他犯罪集團使用,如此一來,即使是經驗較為不足的犯罪集團也能發動勒索病毒攻擊。Egregor 跟許多知名的勒索病毒一樣採取「雙重勒索」的手法,一方面將受害者的資料加密,另一方面威脅受害者若不支付贖金就將其資料外流。
此勒索病毒通常經由一些遠端存取木馬程式 (如 QAKBOT) 來散布。此外,也會經由含有惡意附件的網路釣魚郵件,或經由遠端桌面協定 (RDP) 或虛擬私人網路 (VPN) 的攻擊漏洞來散布。
繼續閱讀
2021年第一季,就爆發勒索病毒攻擊知名企業事件,延伸閱讀:REvil 等勒索病毒集團與系統駭入集團結盟,專攻大型企業;
同時也出現手法不尋常的攻擊手法,勒索病毒不只是加密:「五天內支付贖金,否則MBR將會被重寫」 「48小時內付錢,否則將公開受害資料」。
在勒索病毒橫行的今日,歹徒愈來愈高調,2021剛開始的三個月期間,國內外先後傳出勒索軟體攻擊事件,在進入正文之前,來做個小測驗:
下面哪一項不是預防感染勒索病毒的方法?
A) 定期更新軟體
B) 備份重要文件
C) 只打開信任的郵件
D) 安裝防毒軟體
