REvil 等勒索病毒集團與系統駭入集團結盟,專攻大型企業

「存取服務」(access-as-a-service)

根據一項最新報導指出,一些專門提供所謂「存取服務」(access-as-a-service) 系統駭入專家正與勒索病毒集團合作,使得更多受害者遭到入侵。這兩種網路犯罪集團的結盟,讓惡意程式能夠更快散布至更多高獲利的目標,其中絕大多數都是企業網路。勒索病毒主要是仰賴新的受害者來延續其壽命,而這些專門滲透企業系統的駭客集團正好滿足了這方面的需求,他們專門出租或銷售各大企業網路的存取權限來牟利。

資安機構 Advanced Intelligence (AdvIntel) 在一份報告當中點出了地下犯罪集團彼此之間的複雜關係,以及各種不同惡意程式集團之間如何互相合作。正如 AdvIntel 在報告中所詳述,勒索病毒集團會利用各種策略來散布惡意程式,而專精網路入侵的駭客,則隨時都在想辦法善用他們的技能來賺錢。因此,兩者的結合等於是互利。    

AdvIntel 舉「-TMT-」犯罪集團為例,該團體專門提供各種機構的網路存取權限與系統管理帳號密碼。從這份報告可看出該集團的受害者相當廣泛: 

  • 一家在智利、玻利維亞和秘魯皆設有營業據點的拉丁美洲居家產品供應商。
  • 一家台灣製造商。
  • 一家哥倫比亞金融服務公司。
  • 一家國際海運公司。
  • 一個美國大學與教育機構的網路。
  • 一家丹麥乳製品公司。
  • 一家玻利維亞能源公司。

專門提供勒索病毒服務的知名犯罪集團 REvil,不單只靠提供勒索病毒賺錢,更有來自結盟夥伴的收入。

網路存取權限的價格從 3,000 至 20,000 美元不等。該集團所販售的最昂貴「套餐」內含了某家公司的系統管理主控台、伺服器以及企業 VPN 網路的完整存取權限。顯然該集團擁有各式各樣的技巧來駭入一家公司的網路,包括利用 Metasploit 和 Cobalt Strike Beacon 之類的入侵測試工具。

如此完整的高等級存取權限,對於勒索病毒集團來說特別具吸引力,AdvIntel 在報告中表示,-TMT- 會和一些勒索病毒集團合作 (如 REvil,亦稱 Sodinokibi)。REvil 是一個專門提供勒索病毒服務的知名犯罪集團,成功接替了 GandCrab 的地位。在與 REvil 合作之後,其業務應該會突然暴增,且根據各種資安報告指出,REvil 是一個相當會賺錢的惡意程式集團,不單只靠提供勒索病毒賺錢,更有來自結盟夥伴的收入。

在去年有好幾次高調的攻擊事件背後都有Sodinokibi(REvil)的影子。資安趨勢部落格在這篇文章裡利用一些案例來描述其攻擊過程。(2021/3 更新:台灣在今年也發生相關攻擊:宏碁傳出疑似遭到勒索軟體REvil攻擊,駭客索討5千萬美元贖金)

該怎麼做?


地下網路犯罪集團之間的合作,使得威脅變得更多面向、更複雜,且會使用各種管道的專業工具。隨著惡意程式集團開始運用協力夥伴來強化自己的犯罪實力,企業和一般使用者也應加強自己的防禦。在這樣的網路犯罪情勢之下,一套多層式的資安策略將不可或缺。為了因應前述的威脅,一套完整的防禦應該包括新一代入侵防護與勒索病毒防護等解決方案。還有一點相當重要,企業應落實以下最佳實務原則:

  • 企業內的所有使用者皆應定期備份資料以確保萬一遭到勒索病毒感染也能救回資料。
  • 使用者應小心提防可疑的電子郵件,避免點選郵件中的連結或下載附件檔案,除非使用者確定郵件是來自可靠來源。
  • 限制僅有 IT 人員或必要人員才能使用系統管理工具


[延伸閱讀]

企業應該多久應該備份一次?怎樣的備份作法才最有效?
這些員工沒看穿的騙局,造成的損失可能比病毒還大- 企業常見四種電子郵件威脅

趨勢科技勒索病毒解決方案

大型企業可採用多層式防護來盡可能降低勒索病毒的風險。在端點裝置方面,有Smart Protection Network™ 提供的高準度機器學習、行為監控、應用程式控管以及漏洞防堵,可降低這類威脅的衝擊。在網路方面,有趨勢科技的Deep Discovery Inspector 可偵測並攔截網路上的勒索病毒。至於 趨勢科技Deep Security 則可防止勒索病毒進入企業伺服器,不論實體、虛擬或雲端伺服器皆適用。趨勢科技的趨勢科技Deep SecurityVulnerability Protection 漏洞防護 以及 TippingPoint 等產品都能提供虛擬修補來防範企業端點因未修補的漏洞而感染勒索病毒。

 Deep Discovery Email Inspector  和 InterScan™ Web Security 這類電子郵件和網站閘道解決方案,可防止勒索病毒到達使用者端。趨勢科技 趨勢科技 Cloud App Security™ (CAS) 可強化 Office 365 應用程式及其他雲端服務的安全,利用頂尖的沙盒模擬惡意程式分析來偵測勒索病毒和其他進階威脅。

以上解決方案皆採用趨勢科技 趨勢科技的XGen安全防護技術為基礎,能提供跨世代融合的威脅防禦技巧,完整防範各式各樣的威脅,保護端點網路伺服器以及閘道。精準、最佳化、環環相扣的 XGen 是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。

原文出處:Underground Intrusion Specialists Team Up With Ransomware Groups