善變且適應力強:追蹤現代化勒索病毒的動向

 

趨勢科技一直在持續追蹤現代化勒索病毒 以及一些舊式勒索病毒家族的動向,以了解何種攻擊正在流行,以及哪些家族對企業和一般使用者最為危險。

2021 上半年,我們看到現代化勒索病毒威脅仍非常活躍且不斷演進,並利用雙重勒索的手法來攻擊受害目標。今日的犯罪集團會採用有別於傳統勒索病毒的手法,善用他們從受害電腦上偷到的私密資料來加強勒索的力道,威脅受害者如果一直不付贖金的話,就要將資訊公開到資料外洩網站。接著在下半年,我們仍一直持續追蹤這些威脅以及一些舊式勒索病毒家族的動向,以了解何種攻擊正在流行,以及哪些家族對企業和一般使用者最為危險。

深入了解 2021 年的現代化勒索病毒


2021 年,趨勢科技偵測到的勒索病毒威脅數量 (包含所有勒索病毒類型) 自從在 6、7 兩月稍微減少之後,到了 8 月份又開始上揚。在研究了這些勒索病毒威脅的攻擊目標之後,我發現受害最嚴重的大多是企業機構,其次是一般消費者。

Figure 1. Ransomware detections by layer (email, file, and URL) from January to September 2021
圖 1:電子郵件、檔案及網址等防護層偵測到的勒索病毒數量 (2021 年 1 月至 9 月)。
Figure 2. Ransomware file detections by business segment from January to September 2021
圖 2:不同產業的勒索病毒檔案偵測數量 (2021 年 1 月至 9 月)。

儘管犯罪集團仍持續運用各種手法來駭入使用者的系統,不過經過我們持續追蹤舊式勒索病毒家族與現代化勒索病毒的動向之後,我們發現了一些差異。

WannaCry (亦稱 WCry) 是一個舊式且較為傳統的勒索病毒,從 2007 年至今一直在整體勒索病毒威脅數量當中占有一席之地。為了掌握現代化勒索病毒家族的發展趨勢,我們必須將 WCry 從偵測資料當中去除,並將它單獨抽離出來觀察其發展動向。如下圖所示,在去除 WCry 之後,我們發現其他勒索病毒家族正在成長,反觀 WCry 家族卻一直在走下坡。此外,像 Locky 這類老舊勒索病毒家族的情況也是類似。

現代化勒索病毒,或是伴隨駭客入侵的勒索病毒 (post-intrusion ransomware),通常是在某個惡意程式已經駭入受害裝置之後才被植入的勒索病毒。從最新的排行榜即可以看出這些高調的現代化勒索病毒家族相當善變,例如 Sodinokibi (亦稱 REvil) 就似乎沒有固定的行為模式,由於這些家族大多為「目標式」勒索病毒,因此其偵測數量跟個別攻擊事件的成功與否有很大關係。反觀傳統勒索病毒並無特定攻擊目標,所以比較像是撒下一個大網子,能抓多少算多少。

Figure 3. Top 10 ransomware families detected from January to September 2021; highlighted sections show the decline of WannaCry and the volatility of the REvil modern ransomware.
圖 3:十大勒索病毒家族 (2021 年 1 月至 9 月),圖中特別將 WannaCry 與 REvil 標示出來以方便看出前者正在逐漸減少,而後者則相當善變。

Figure 4. Monthly ransomware file detections with and without WCry
圖 4:勒索病毒檔案每月偵測數量 (全部及排除 WCry)。

勒索病毒攻擊發展趨勢


Emotet、Ryuk 和 Trickbot 是 2021 年至目前為止攻擊最熱絡的三大惡意程式家族。2021 年 1 月,一項由 8 個國家的執法機關共同合作的聯合行動破獲了 Emotet 殭屍網路,導致其數量在 2 月份之後大幅下滑 (參見圖 5 )。只可惜,即使經歷了這次破獲行動,Emotet 殘餘的同黨依舊繼續活動。Emotet 基本上是一種惡意程式服務,專門為其他犯罪集團提供已遭駭入的電腦來供他們存取。至於 Trickbot 則是專門用於在企業內部網路橫向移動及擴散。許多勒索病毒集團 (如 Ryuk) 都曾在攻擊行動當中用到這類工具和服務。

在前述家族當中,Emotet 的偵測率最高 (我們的統計數字包含主要惡意程式和勒索訊息檔案)。Ryuk 在一整年當中都持續穩定成長,並在 8 月份突然暴增。值得注意的是,這 734.1% 的成長率很可能是因為爆發了某些大型攻擊事件所致。根據我們的資料顯示,暴增的數量大多是來自大型企業與中小企業 (SMB),所以很可能是因為某些產業遭到攻擊所致,所以 9 月份數量就回歸正常。

Notes: Ryuk and Emotet detections include ransom notes Figure 5. Top three malware families with the most active campaigns
圖 5:攻擊最活躍的 3 大惡意程式家族 (註:Ryuk 和 Emotet 的偵測數量也包含勒索訊息檔案)。

伴隨駭客入侵的勒索病毒全球威脅

伴隨駭客入侵的勒索病毒 (post-intrusion ransomware),其幕後集團會利用各種工具和已遭駭入的帳號來進入企業網路並在內部橫向移動。這些家族通常比傳統勒索病毒更為精密。這類伴隨駭客入侵的勒索病毒偵測數量從 2019 年至 2020 年第 3 季一直都相當穩定。但到了 2020 年第 4 季卻突然暴增。2021 年,伴隨駭客入侵的勒索病毒數量雖然較 2020 年第 4 季減少,但若與 2020 年第 1 至 3 季相比仍明顯高出許多。

Figure 6. Rates of post-intrusion ransomware from January 2020 to September 2021
圖 6:伴隨駭客入侵的勒索病毒偵測數量 (2020 年 1 月至 2021 年 9 月)。

從 2019 年至 2021 上半年,美國、印度、日本、德國及其他國家都一直持續受到伴隨駭客入侵的勒索病毒襲擊。然而在英國、新加坡、香港和荷蘭,勒索病毒事件發生率卻節節上升,且這些地方在勒索病毒偵測數量排行榜上的排名從 2019 年至 2021 上半年皆持續上升。

Figure 7. Global ranking of the four countries with regard to overall (email, URL and file) ransomware detections from Trend Micro data
圖 7:勒索病毒整體偵測數量 (電子郵件、網址與檔案) 排行前四名國家/地區。
(資料來源:趨勢科技)

從上圖資料看來,勒索病毒集團似乎朝著一種趨勢發展,那就是:鎖定先前成功機率較大的國家,以及加強這些地方的攻擊力道,此一情況在英國和荷蘭尤其明顯。這樣的趨勢或許也顯示勒索病毒犯罪集團正慢慢捨棄一些成功率較低的國家。

解決方案與資安建議 

勒索病毒集團仍是一項持續存在的威脅,他們會不斷變換經營策略以及他們所用的攻擊工具和技巧。企業可參考以下幾項最佳實務原則來防範勒索病毒的風險:

  • 部署多層式偵測及回應解決方案:採用一些能在威脅升高之前預先預測及防範勒索病毒活動、技巧與行動的解決方案。例如, Trend Micro Vision One™ with Managed XDR  能協助企業偵測及攔截勒索病毒的各種元件,在攻擊影響到企業之前就預先加以攔截。
  • 預先擬好一份防範與復原教戰手冊:投入經費建立事件回應 (IR) 團隊,並為企業量身製作一份專屬的教戰手冊。事件回應教戰手冊框架有助於企業針對勒索病毒攻擊與駭客入侵事件預先做好妥善規劃及準備。此外,這些手冊還要定期維護,隨時增訂各種適當程序讓每一位員工在必要時都能有所依據。
  • 執行攻擊演練:讓員工接受擬真的網路模擬攻擊這有助於決策人員、資安團隊、事件回應 (IR) 團隊發掘潛在的資安漏洞以及系統和人員方面的弱點,以便預做準備。

原文出處:Volatile and Adaptable:Tracking the Movements of Modern Ransomware