探討RaaS 「勒索病毒服務」(RaaS,Ransomware-as-a-service) 集團的運作,以及該如何防止勒索病毒攻擊。
想對大型組織發動大規模攻擊不再需要是熟練的駭客。借助勒索病毒即服務(RaaS),攻擊者能夠輕鬆地拿到必要的工具和技術。
這樣新型態網路犯罪的可用性讓2022第一季的RaaS和勒索集團組織增加了63.2%。趨勢科技研究中心的2022年中網路資安報告提到,在2022上半年有50多個RaaS和勒索集團組織攻擊了1,200多個組織。
本文將會概述RaaS、常見勒索病毒家族和使用技術,以及該如何防止勒索病毒攻擊並加強網路資安態勢。
繼續閱讀勒索病毒即服務(RaaS)為那些原本受限於技術能力與專業知識的攻擊者提供了發動攻擊所需的彈藥。所造成的結果就是讓勒索病毒快速地散播到更多目標。RaaS到底是什麼,有哪些勒索病毒家族和技術和它有關?
勒索病毒 Ransomware (勒索軟體/綁架病毒)即服務(RaaS)可以被認為是勒索病毒攻擊迅速擴散的主因之一。簡單地說,RaaS會向買家出售或出租勒索病毒。
在過去,勒索病毒攻擊主要是由勒索病毒組織發起。不過當RaaS出現後,它讓即使是沒有什麼技術專業的人也更加容易對目標發動勒索病毒攻擊。
從本質上,我們可以觀察到使用RaaS的團體進行組織化的分工。因為此一發展,網路犯罪生態系對各類任務有了更高的熟練度和專業化,有些人專注於滲透網路,而有些則專注於運作勒索病毒或與受害者進行贖金的談判。
這樣的專業化,再加上精煉的勒索技巧和技術策略,讓現代勒索病毒成為惡名昭彰的威脅。隨著威脅範圍不斷的擴大,預計勒索病毒攻擊在未來十年內可能造成數十億美元的損失。
繼續閱讀
2015年7月,一個名為「Encryptor RaaS」(趨勢科技偵測為RANSOM_CRYPRAAS.SM)的新勒索病毒即服務(Ransomware-as-a-Service)浮出檯面,想複製像Tox或ORX Locker的快速致富模式。這起新”服務”似乎是匹黑馬:跨平台,吸引人的價格,而且讓新手罪犯的進入門檻更低。它對一般用戶和企業都造成相當大的威脅,因為Encryptor RaaS可以對會員提供客製化服務。
Encryptor RaaS作者替從事勒索病毒事業的會員們,建立只能透過TOR網路存取的完整網路控制面板,讓他們可以管理勒索病毒受害者的系統。和其他競爭者比較起來(如Cerber,開發者抽取40%的佣金),Encryptor RaaS的訂價相當具有吸引力。會員只需投入至少5%的收入散播勒索病毒,當然,為了躲避追查,比特幣(Bitcoin) 是首選交易貨幣。
早在2016年3月,趨勢科技就注意到Encryptor RaaS作者竭盡所能地不讓自己被偵測露出馬腳。包括使用有效憑證來簽章勒索病毒,同時也不斷地利用反防毒服務和加密服務。
但非常突然的這個”服務”在四個月後突然關閉了。好處是,少了一個勒索病毒需要擔心。壞處是, 開發者決定刪除主要金鑰,受害者再也無法回復他們被加密的檔案。是什麼讓Encryptor RaaS突然崩落?
犯罪手法: :勒索病毒”事業夥伴”只需要知道如何設定比特幣錢包ID,並不需要其他技術專長
Encryptor RaaS會在表層網路和黑暗網路(Dark Web)的論壇內進行宣傳。惡意分子只需透過Tor網站來聯絡開發者表示興趣。除了需要知道如何設定比特幣錢包ID來連結將要散播的勒索病毒外,並不需要其他技術專長。他們還會取得一個「客戶ID」,所以每個檔案都有唯一的「所有者」。會員可以指定贖金金額,並選擇使用哪些方法來散播定製的惡意軟體。 繼續閱讀
作者:趨勢科技網路安全長 (Chief Cybersecurity Officer,CCO ) Ed Cabrera
多年以來,「網路犯罪服務」(Cybercrime as a Service,簡稱 CaaS) 已在深層網路(Deep Web)地下論壇當中蔚為一股風潮。一些缺乏經驗的網路犯罪分子 (坦白說也是出於懶惰),只要向一些老手購買 CaaS 工具和服務,就能輕輕鬆鬆發動一些惡意程式、垃圾郵件(SPAM)、網路釣魚(Phishing)或其他惡意攻擊行動,一切只需點點滑鼠即可。這些現成的工具套件使用起來幾乎不費力氣、也不需花大錢、更不需經驗,就連只會寫寫腳本的初階駭客也能上手,但卻可以帶來高報酬。
而最新的「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS) 毫不意外地,這項最新的服務,已造成新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族的數量大增,光是2016 上半年就比去年一整年暴增 172%,而 RaaS 的出現,也讓原本大多針對個人使用者的攻擊,現在也開始對企業造成嚴重威脅。
企業的資料和商譽陷入前所未有的危險當中,最終甚至可能危及企業的生存,因為有了 RaaS 之後,網路犯罪分子就能發動多起勒索病毒攻擊,有助於他們在地下論壇打響名號。他們的目標就是挾持企業最寶貴的資產,包括:重要的連絡人資訊、業務資訊或是企業關鍵檔案。企業一旦損失這些數位檔案,將帶來嚴重的後果,包括:營業損失、營運中斷、法律賠償以及商譽損失。
企業的資安長 (CISO) 與 CXX 級高階主管,有責任採取必要的安全措施來妥善保護企業的寶貴資訊,並充分教育員工認識這項威脅。勒索病毒並非只有一種行為模式,因此資安對策也不能只靠單一防護。趨勢科技的多層式防護能協助企業降低風險,不讓攻擊進入系統,不論經由何種入侵點。我們提供了四層的防護來協助您降低風險:
|
|
RaaS 服務背後的犯罪集團,必須靠著他們的「客戶」(也就是使用其服務的犯罪分子) 來入侵企業系統,才能獲得不法利益。因此,他們會盡可能確保攻擊能夠遍地開花。這波風潮短期內應該不會消失,所以,別讓您的企業成為下一個受害者,成為駭客在深層網路上提高聲望的墊腳石。教育您的員工,備份您的檔案,最重要的是:部署一套多層式防護來保護您的資料。最終您會發現,您所花費的時間和金錢,都將值得。
原文出處:Protecting Your Enterprise against a New Generation of Cybercriminals)
檢視資安指南:勒索病毒服務 (Ransomware as a Service)
根據趨勢科技威脅回應工程師 Pacag 指出,幾個星期前,有個叫做「Stampado」的最新勒索病毒 Ransomware (勒索軟體/綁架病毒)在深層網路 (Deep Web) 上只要 39 美元的價格便提供「終身授權」。這正是「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS) 的運作方式,現在,網路論壇上到處充斥著各種自己動手做 (DIY) 的勒索病毒套件,就算是完全沒有技術背景的人也有辦法獨自發動一波勒索病毒攻擊。
勒索病毒在近幾個月來不斷登上媒體版面,因為這類病毒的效果真的是太強。一般來說,使用者可能經由下列管道感染勒索病毒:瀏覽網路、開啟垃圾郵件、或是單純只是仍在使用舊版軟體。
勒索病毒一旦在受害者的系統上執行,就會開始加密電腦或伺服器上的檔案,接著會顯示一個訊息向受害者勒索一筆贖金 (通常為比特幣),使用者若想救回被加密的檔案,就必須支付贖金。2015 年的 CryptoWall 只不過是數百個勒索病毒品種之一,但卻從受害者身上海撈了 3.25 億美元,而這些很可能都是淨賺的,因為這類網路犯罪攻擊行動的門檻極低。
一般的勒索病毒行動 (左) 和 RaaS (右) 的差異
這對企業的意義為何?一切端看企業需要保護的是什麼資料。雖然勒索病毒很難知道某個檔案對受害者的重要性,但藉由大量的加密:整個資料夾、整個磁碟、整台伺服器等等,網路犯罪分子就有足夠的籌碼可以向大批的受害者勒索任何贖金,而且就算只有少數受害者願意付錢,他們的獲利也相當可觀。 繼續閱讀