企業資安危機:網路攻擊服務

幾年前,自從某些廠商開始推出「以服務供應」(as-a-service) 的解決方案之後,這類供應模式便迅速開始蔚為風潮。現在,軟體服務 (SaaS)、基礎架構服務 (IaaS) 及平台服務 (PaaS) 等皆已經成為企業 IT 的重要構成元素,從市場規模即可證明。

根據 MarketWatch 指出,全球軟體服務 (SaaS) 市場預計將以超過 20% 的年複合率成長 (CAGR) 持續發展,至 2024 年將達到 1,858 億美元的規模。而 Allied Market Research 也指出,IaaS 市場的 CAGR 甚至更高,將以 25% 的速度持續成長至 2023 年,達到 9,200 萬美元以上的規模;至於 PaaS 市場,Market Research Future 則預測將於 2022 年達到 121.2  億美元的規模,CAGR 高達 26%。

以服務供應的模式的確能帶來相當多的好處,包括:前期投資更低、關鍵解決方案運轉率及效能更穩。因此,不難理解地,不論任何規模或任何產業的企業,目前都一窩蜂地採用這類以服務供應的產品,且不僅侷限於前述幾項服務。

這樣的現象也出現在網路犯罪集團。現在已有一些專門的網路犯罪服務可讓犯罪集團在滲透企業、竊取資料或賺取不法獲利時變得比以往更加方便容易。讓我們來看看幾項目前最新的網路犯罪服務,以及這些對企業資料安全有何影響。

勒索病毒服務 (RaaS)

目前,網路犯罪地下市場提供了多種不同的惡意程式與網路攻擊服務,但其中最可怕的是勒索病毒服務 (Ransomware-as-a-Service,簡稱 RaaS)。

趨勢科技在這股趨勢剛成形時 (2016 年) 即曾發表過相關的報告,並指出某些勒索病毒 (例如一個名為「Stampado」的勒索病毒) 正在深層網路 (Deep Web) 上販售。當時,駭客以 39 美元的價格提供勒索病毒樣本以及「終生授權」

趨勢科技在當時的資安新聞部落格中指出:「這正是『勒索病毒服務』(RaaS) 的運作方式,現在,網路論壇上到處充斥著各種自己動手做 (DIY) 的勒索病毒套件,就算是完全沒有技術背景的人也有辦法獨自發動一波勒索病毒攻擊。」

如同其他勒索病毒一樣,這個 RaaS 套件也包含了一個可在受害者電腦上執行並加密檔案的勒索病毒,讓使用者的資料無法使用,並顯示一則勒索訊息告訴使用者必須支付一筆贖金來取得解密金鑰。有了這類 RaaS 套件之後,犯罪集團就不需自行開發勒索病毒,因為該套件已包含了散播勒索病毒到受害者系統所需的一切。

從過去的勒索病毒攻擊案例可看出,感染勒索病毒的受害者越多,歹徒收到贖金的機率就越高。正如趨勢科技在資安新聞部落格中指出,感染和攻擊的結果仍須視歹徒攻擊的企業類型以及勒索病毒所挾持的資料類型而定。

如果受害者被挾持的是極為敏感的資料,且若資料沒有備份的話,那麼受害者支付贖金的意願就會大增。在某些案例當中,歹徒的攻擊還不僅止於此,有些駭客會在收到贖金之後,再向受害者勒索一次贖金,因為歹徒採用了難以破解的加密方式,使得受害者無法自行救回資料。

今日駭客有多種狡詐的方式可以詐騙或攻擊廠商。

結合不同威脅:勒索病毒與虛擬加密貨幣挖礦惡意程式

今年,RaaS 服務似乎又更上層樓,因為資安研究人員發現了一個漏洞攻擊套件不僅含有 GandCrab 勒索病毒,而且還有一個強大的虛擬加密貨幣挖礦惡意程式。這個名為「Rig」的漏洞攻擊套件從 2018 年 7 月便開始出現在地下市集,但該年 8 月,資安研究人員 (包括專門從事詐騙研究的趨勢科技 Joseph Chen) 都注意到一項變化,那就是該攻擊套件不再使用 GandCrab 勒索病毒,而是使用另一個當時仍屬未知的勒索病毒,也就是趨勢科技後來命名的Princess Evolution 勒索病毒

正如 Joseph 所指出,這類結合不同惡意程式的攻擊套件是一種相當危險的威脅。然而更糟的是,根據趨勢科技研究人員在地下市集所觀察到的活動,駭客是採用勒索病毒服務的方式來供應這個結合勒索病毒與挖礦惡意程式的套件,並且在地下市集上徵求事業夥伴。

Joseph 表示:「看來其幕後的集團正在以 RaaS 方式來兜售 Princess Evolution 並且正在尋求合作夥伴。就算使用者沒有被誘騙到散布該漏洞攻擊套件的網站並感染勒索病毒,網路犯罪集團還是可以透過虛擬加密貨幣挖礦來賺取不法獲利。」

Princess Evolution/虛擬加密貨幣挖礦漏洞攻擊套件並非第一個結合雙重威脅的漏洞攻擊套件。正如趨勢科技 2016 年 10 月的一篇資安新聞部落格指出,其中最早的一個知名套件就是Blackhole 漏洞攻擊套件,該套件第一次現身於 2013 年,並且內含知名的 CryptoLocker 勒索病毒。自此之後,又出現了其他的類似的漏洞攻擊套件,如:Angler、Neutrino 和 Magnitude。

這種經由漏洞攻擊套件散布的模式在 2016 年第四季開始變得非常流行,有 18% 的勒索病毒家族是經由漏洞攻擊套件進入受害者的系統,因為漏洞攻擊套件讓駭客很容易得逞。

趨勢科技指出:「漏洞攻擊套件為何會成為各種威脅的有效的散布管道?首先,這類攻擊無需假借使用者之手,因為它們利用的是熱門軟體未修補的漏洞。不論任何時刻,網路總是會存在著漏洞,尤其若網路上還有一些老舊的系統或軟體。」

除此之外,雖然 Angler 漏洞攻擊套件目前的活動相較於剛現身初期已大幅減少,但長江後浪推前浪,永遠會有新的強大威脅取而代之。例如,當 Angler 開始勢微,Neutrino 漏洞攻擊套件的感染數量便突然暴增。

網路攻擊服務的威脅

不論漏洞攻擊套件或勒索病毒服務所散播的是何種惡意程式,對企業資安來說都是一項重大且相當危險的威脅。但整體而言,網路攻擊服務和其他漏洞攻擊套件更常出現在深層網路與地下市集,因為正如趨勢科技所言,它們相對便宜很多。

這意味著,甚至一些沒有惡意程式開發經驗或任何技術能力的人都能便宜買到這類服務或漏洞攻擊套件來發動網路攻擊。由於漏洞攻擊套件通常是利用一些零時差漏洞來成功入侵受害者系統,因此更加危險。

趨勢科技在「高階主管系列指南:漏洞攻擊套件服務」一文當中指出:「只要網路犯罪集團繼續採用漏洞攻擊套件搭配勒索病毒方式,企業就不只必須面對感染惡意程式的威脅,還須面對其他漏洞攻擊套件可能散布的最新威脅」。

請參閱趨勢科技指南並立即與我們的資安諮詢專家聯繫來進一步了解詳情。

原文出處:Impacts to Enterprise Security: A Look at as-a-service Attacks