勒索病毒在過去這段時間出現了許多變化,希望這篇文章能有助企業防範這波日益升高的攻擊趨勢。
支付1.23 億贖金卻換到不中用解密工具的美國最大燃油管道系統Colonial Pipeline 勒索病毒攻擊事件,只是歹徒正在醞釀的新一波勒索病毒攻擊開端,他們的目標是一些高價值企業。為何會出現這樣的趨勢?
勒索病毒集團的目標其實就是勒索贖金,因此他們會攻擊一些較容易因害怕營運中斷而支付贖金的企業機構。過去,我們看到歹徒會攻擊政府單位和教育機構,歹徒能造成的傷害越大,收到贖金的機率也就越高。
今日的勒索病毒攻擊已經過好幾個階段的演進,我們現在正處於勒索病毒攻擊發展的第四階段。以下摘要說明勒索病毒發展的四個階段:
🔴第 1 階段:單純只有勒索病毒。將檔案加密,留下一封勒索訊息,然後等著收錢 (比特幣)。
🔴第 2 階段:雙重勒索。第 1 階段 + 將資料外傳然後威脅公開資料。Maze 是第一個採用此手法的已知案例,隨後其他犯罪集團也立即跟進。
🔴第 3 階段:三重勒索。第 1 階段 + 第 2 階段,然後再搭配 DDoS 攻擊威脅。Avaddon 是第一個採用此手法的已知案例。
🔴第 4 階段:四重勒索。第 1 階段 + (可能搭配第 2 階段或第 3 階段) + 直接發送郵件給受害者的客戶。根據研究人員 Brian Krebs 指出,Cl0p 是第一個採取這種手法的攻擊。
現在看到的勒索病毒攻擊,大多數採取雙重勒索手法,但最大的轉變還是他們開始攻擊企業關鍵系統。從最近的這個案例可以看出,OT 系統似乎沒受到太大影響,反倒是與網路相關的 IT 系統才是歹徒的攻擊目標。
但這樣的情況未來或許會轉變,因為 OT 網路已慢慢成為許多企業營運賴以生存的關鍵,所以未來有可能成為攻擊目標。在這篇部落格文章當中,我們點出了製造業如何成為現代勒索病毒的攻擊目標,以及相關的衝擊。
一般而言,癱瘓企業日常營運系統可能帶來的後果就是財務損失與名譽損失。
但從最近這次油管營運廠商所遭到的攻擊事件,讓我們看到了一項非預期的後果。那就是,癱瘓國家重大基礎建設,即使原本只是想要海撈一票,很可能因而招來政府的大力掃蕩。因此,未來犯罪集團很可能必須評估其攻擊的目標是否會引發一些不良後果,再決定是否發動攻擊。
未來,我們仍將繼續看到勒索病毒攻擊,因此企業機構應花費一些時間針對最新的勒索病毒攻擊手法來擬定一套事件應變計畫。以下是您在擬訂計畫時應注意的幾點:
- 認知到自己可能成為攻擊目標:每家企業都有可能成為犯罪集團的目標,但一些關鍵基礎建設產業此時更應該評估這樣的可能性。
- 駭客只要有心,總會找到方法駭入您的網路:有些駭客集團在駭入企業之後,會將企業網路的存取權限拿出來販售,提供所謂的「存取服務」(Access as a Service),這類服務目前正夯。不論是經由網路釣魚來誘騙員工,或是經由網際網路攻擊系統漏洞,或者經由供應鏈間接攻擊企業,網路犯罪集團總會找到方法。
- 合法工具遭到非法濫用:駭客會在攻擊流程的各個階段利用一些合法工具作為輔助。關於這點,請參閱我們最近一篇部落格文章: Darkside 勒索病毒與美國輸油管攻擊事件。
- 重要的系統管理員與應用程式帳號登入憑證,都是歹徒鎖定的目標。
- 勒索病毒集團會設法竊取企業資料,以便後續用於雙重勒索。
- 執行勒索病毒程式是攻擊的最後一道步驟,因為其影響非常顯著,一旦執行,企業就會知道自己已經受害。
至於那些仰賴 OT 網路來運作的企業,還有以下幾點也應該考量:
🔴建置一套資安防護來保護 OT 網路上的裝置,特別是那些無法安裝資安軟體的裝置。
🔴網路分割很重要。
🔴若您因 IT 網路遭駭客入侵而使得 OT 網路必須關閉,您必須想辦法克服困難。
這起最新的攻擊事件對所有企業機構都是一項警惕,讓企業知道該好好強化自己的網路來防範攻擊,同時也要提升可視性來掌握是否有駭客在您的網路內部活動。趨勢科技採用多層式網路資安平台來提升偵測及回應最新勒索病毒攻擊的能力並提高威脅可視性。請參閱我們的 Trend Micro Vision One™ 或與我們聯繫來了解我們能提供什麼協助。
原文出處:Tips to avoid the new wave of ransomware attacks 作者:Jon Clay