勒索病毒與犯罪集團結盟,與「存取服務」(Access as a Service) 不肖業者結盟出租或銷售各種企業的網路存取權

或許是因為許多政府機關在受害之後都願意支付贖金,所以勒索病毒犯罪集團 2019 年才會更密集地攻擊政府單位。 另外,去年有超過 700 家醫療機構遭到勒索病毒攻擊
勒索病毒受害者不僅要應付資料被加密的問題,還要面對資料可能外洩的災難。會自動將受害者的檔案複製到該集團伺服器的「Maze」, 刻意從它們竊取到的 32 GB 資料中釋出 2 GB ,以駁斥媒體宣稱他們只不過偷了幾個檔案而已。
REvil 勒索病毒則經由已遭駭的第三方軟體發動總贖金高達 250 萬美元的聯合攻擊行動
美國聯邦調查局 (FBI) 對於是否該支付贖金,仍維持堅定的否定立場。該局的網路犯罪調查部門引述一個案例指出,受害者原本是希望能支付贖金來取得解密金鑰,沒想到收到的金鑰卻反而讓所有的資料被清得一 乾二淨。


2019 年,勒索病毒犯罪集團改懸易轍,開始針對特定的機構進行攻擊,試圖入侵其關鍵資產、系統和服務 來獲取龐大利潤。策略的轉變促使他們採取一些新奇的技巧來讓他們迅速在受害者的網路內流竄,盡可能散布更多惡意程式。過去一年當中一項值得注意的駭客技巧就是入侵一些鮮少遭到攻擊的企業資源,例如:網域控制器 (Domain Controller) 和 Active Directory 目錄服務,目的是為了造成企業更嚴重的營運中斷,進而迫使企業乖乖就範,讓他們予取予求。


歹徒對勒索病毒攻擊策略和方向的調整,用在政府機關身上顯然奏效,並且在 2019 年帶動了一波全球熱潮。這股熱潮在美國尤其明顯,因為全球許多針對政府機關的重大勒索病毒攻擊案例都發生在美國。


去年 4 月,美屬維京群島警察局 (U.S. Virgin Islands Police Department) 遭到勒索病毒攻擊,病毒將該局的內部資料與民眾報案記錄加密。去年 8 月,美國加州洛迪市 (Lodi) 政府發生了一起駭客攻擊,造成該市的財政系統與重要電話線路中斷。


美國佛州彭薩科拉市 (Pensacola) 發生了一起駭客攻擊事件,揭露了一種從未見過的勒索病毒攻擊作法。這起攻擊背後的網路犯罪集團「Maze」在入侵了該市的電子郵件與電話服務系統之後,刻意從它們竊取到的 32 GB 資料中釋出 2 GB 來證明他們確實掌握了該市的資料 (而非只有將網路上的電腦加密而已)。Maze 過去即曾經將一些未在期限前支付贖金的受害者資料公開。不過在彭薩科拉市的案例中,歹徒做這動作的用意並非要對該市的官員施壓來逼迫他們支付 1 百萬美元的贖金,而是要駁斥媒體宣稱他們只不過偷了幾個檔案而已。


Maze 駭客集團的攻擊之所以能夠得逞,主要是因為駭客所採用的勒索病毒 (同樣命名為「Maze」) 會自動將所有受害者的檔案複製到該集團的伺服器。這項作法會對受害者造成更大壓力:受害者不僅要應付資料被加密的問題,還要面對資料可能外洩的災難。資安專家早已指出這類手法可能嚴重衝擊企業目前的事件應變措施的執行,IT 部門現在必須與法務和其他部門密切配合來規劃一些額外的復原步驟。

Sodinokibi 勒索病毒 (亦稱 Sodin 或稱REvil )與勒索病毒犯罪集團開始彼此結盟


2019 年還有另一個重要的發展趨勢就是,勒索病毒犯罪集團開始彼此結盟。目前至少有兩個專門攻擊美國政府機關的駭客團體以及專門提供所謂「存取服務」(Access as a Service) 的不肖業者,這些業者以出租或銷售各種企業的網路存取權限來營利。這類服務的背後養了一群專門入侵企業網路的駭客,服務的價格從 3,000 至 20,000 美元不等,其中最昂貴的「套餐」包含了受害企業的系統管理主控台、伺服器以及企業 VPN 網路的完整存取權限。

 
Ryuk 勒索病毒集團在 11 月攻擊了美國路易西安那州科技服務辦公室 (Office of Technology Services),據說就是利用了這類存取服務。根據報導,該集團租用了像 Trickbot 這類的存取服務惡意程式來非法入侵已感染該惡意程式的機構。另一個與不肖存取服務業者合作的犯罪集團就是 Sodinokibi 勒索病毒 (亦稱 Sodin 或稱REvil )。去年 8 月,Sodinokibi 勒索病毒背後的犯罪集團就針對美國德州 22 個地方政府機關發動了一波總贖金高達 250 萬美元的聯合攻擊行動。據說勒索病毒是經由某個已遭駭入的第三方軟體散布至這些機關,因為這些市政府機關都使用了該軟體。

去年有超過 700 家醫療機構遭到勒索病毒攻擊


2019 年美國至少有 110 個州政府及市政府機關和單位受到勒索病毒襲擊。儘管政府單位爆發了前所未有的大量攻擊,但醫療產業依舊是勒索病毒在美國境內鎖定的首要目標,去年有超過 700 家醫療機構遭到勒索病毒攻擊。除了政府機關之外,美國的教育機構也不遑多讓,有超過 80 個大專院校和學區遭到攻擊。勒索病毒犯罪集團之所以會攻擊醫療、政府和教育產業,是因為相關的損害遠遠超過受害機構本身。這些機 構所服務的對象也會受到影響,由於他們提供的服務不可或缺,所以禁不起任何服務中斷或停擺的狀況 發生,其影響相當深遠。

保險理賠在勒索病毒獲利當中扮演更重要角色

或許是因為許多政府機關在受害之後都願意支付贖金,所以勒索病毒犯罪集團 2019 年才會更密集地攻擊政府單位。這樣的作法很可能是從他們過去攻擊私人機構的經驗發展而來,因為之前的受害企業也都傾向於支付贖金給歹徒。例如 2017 年就有報導指出美國約有一半的受害企業至少支付了一次贖金。受害的機構為了降低營業中斷所造成的損失,大多寧願與勒索病毒集團妥協並支付贖金,而非直接忽視其要求。


7 月份,美國印第安納州拉波特郡 (LaPorte County) 政府發現其系統遭勒索病毒癱瘓,歹徒要求 25 萬美元的贖金。不過該郡只同意支付 132,000 美元,且其中的 10 萬美元其實是由保險公司的理賠來支付。該郡的 郡委員會主席稱這是一個「經濟的抉擇」,用意是要縮短恢復營運的時間。同月,美國麻薩諸塞州新伯福市 (New Bedford) 的電腦遭駭客鎖住並索取 530 萬美金,經過討價還價之後只支付了 40 萬美元。事後,該市市長坦承雖然他一開始很猶豫要不要付款,但假使保險公司的理賠能夠承擔他們所支付的贖金,那他 若不考慮循此管道來取得解密金鑰便是失職。


很顯然地,保險公司的理賠能承擔勒索病毒攻擊的大部分贖金,有助於受害者加速復原被加密的檔案和被鎖住的系統。但受害機構越來越仰賴這樣的方式確實令人擔憂,因為這會變相鼓勵網路犯罪集團攻擊更多這類可能有保險理賠的機構。


無怪乎美國聯邦調查局 (FBI) 對於是否該支付贖金,仍維持堅定的否定立場。該局的網路犯罪調查部門主任在 9 月建議受害者應拒絕支付贖金,因為這麼做並不保證能夠救回資料和系統。此外他也引述一個案例指出,受害者原本是希望能支付贖金來取得解密金鑰,沒想到收到的金鑰卻反而讓所有的資料被清得一 乾二淨。

新的勒索病毒值得注意,但新的勒索病毒家族數量卻相對減少


2019 年,我們所偵測到的勒索病毒相關威脅 (檔案、電子郵件、網址) 較以往成長。這些小幅增加的偵測數 量,或許不僅反映出我們在電子郵件與網址層次主動攔截勒索病毒相關活動的方法有所提升,也反映了在 勒索病毒下載之後的資安攔截技術有所改善。

圖 1:勒索病毒相關威脅 (檔案、電子郵件、網址) 小幅增加:勒索病毒相關威脅逐年比較。
資料來源:趨勢科技 Smart Protection Network™ 全球威脅情報網。


新的勒索病毒家族數量跟去年一樣正在持續減少,2019 年新發現的數量還不到 100 個,更不到 2018 年的一 半。這可能意味著歹徒或許覺得與其不斷開發新型的勒索病毒,不如挑選特定目標下手反而更有利可圖。

 圖 2:新的勒索病毒家族數量減少:新勒索病毒家族數量脅逐年比較。 
 資料來源:趨勢科技 Smart Protection Network 全球威脅情報網與外部資料分析結果。
圖 2:新的勒索病毒家族數量減少:新勒索病毒家族數量脅逐年比較。
資料來源:趨勢科技 Smart Protection Network 全球威脅情報網與外部資料分析結果。


儘管如此,歹徒依然不斷推出技術高明、令人矚目的新勒索病毒家族。其中一個例子就是 Snatch 勒索病 毒,該病毒首次出現於 10 月,曾被用於攻擊美國、加拿大及歐洲多個國家。Snatch 會強制 Windows 電腦 重新開機進入安全模式以躲避資安軟體偵測,如此就能暗中加密檔案而不被發現。歹徒開發這項功能的目的正是利用某些資安軟體無法在安全模式中執行的缺陷 (該模式原本是用來修復毀損作業系統和除錯)。

 表 1:值得注意的新勒索病毒家族運用各種高效率的技術手法:2019 年出現的 知名勒索病毒家族手法比較。
表 1:值得注意的新勒索病毒家族運用各種高效率的技術手法:2019 年出現的 知名勒索病毒家族手法比較。

另一個值得注意的新勒索病毒家族是 Zeppelin,其最早發現的樣本,編譯日期可追溯至 11 月,美國和歐洲 企業都出現感染案例。根據 Zeppelin 的樣本顯示,它可調整的功能很多,而且可當成 .dll 或 .exe 檔案使用 或包裝在 PowerShell 載入器中。它除了會加密檔案之外,還能終止電腦上的各種處理程序。其勒索訊息有 多個不同版本,從一般通用的勒索訊息,到一些較長且針對特定攻擊目標而調整的訊息。

另一個引人側目的新家族是前面提過的 Maze 勒索病毒,它會自動將所有受害者的檔案複製到該集團的伺服器。該病毒幕後的犯罪集團也叫 Maze,他們會利用冒牌的虛擬加密貨幣網站、惡意垃圾郵件、甚至是漏洞攻擊套件來入侵網路。當 Maze 成功入侵目標網路之後,若受害者拒絕或未能在期限內支付贖金,他們 就會將受害者的資料公開到網路上。



欲索取中文版完整報告,請至趨勢科技粉絲專頁,私訊小編,留言:我要索取2019資安報告