本文探討當今最主要的四種網路犯罪集團:存取服務、勒索病毒服務、防彈主機代管,以及群眾外包,並提供一些協助您強化防禦策略的祕訣。
所謂「眾志成城」,同樣的道理也適用於網路犯罪集團。為了提高網路攻擊的成功率,專精不同領域的駭客集團已經開始聯合起來組成所謂的「網路犯罪服務」(Cybercrime as a Service,CaaS)。
我們看到駭客們正開始分工合作,各自負責整個攻擊程序的不同階段。這意味著,我們將看到駭客更少因為犯錯而被逮到,此外也預料,在一個受感染的網路當中,將出現多個犯罪集團同時存在的情況。
目前,CaaS 大致上可細分成四種:
若從事件回應團隊的角度來看,這意味著他們必須找出整起攻擊當中負責執行不同階段的不同駭客集團,這將使得攻擊的偵測及攔截變得更難。所以,如果能夠掌握駭客常用的手法、技巧與程序 (TTP),將有幫助於資安長 (CISO) 和資安領導人強化網路資安策略並降低風險。
網路犯罪集團的類型
1.存取服務
趨勢科技研究機構 Trend Micro Research 分析了一種名為「存取服務」(Access as a Service,簡稱 AaaS) 的地下商業模式,這是一種專門販售企業網路存取權限的網路犯罪服務。
AaaS 主要是由一些個人駭客或駭客集團利用各種方法駭入企業網路並蒐集存取權限之後,將存取權限拿出來販售的一種服務。AaaS 的賣家主要有三類:
- 投機的駭客:看到市場出現這樣的需求,所以就決定來分一杯羹。
- 專業的賣家:他們的全職工作就是蒐集和販賣這類存取權限,他們甚至會宣傳自己的服務,並透過廣大的銷售網路來販售。
- 線上商店:這類商店通常只保證能夠進入某台電腦,而非整個企業或網路。
這當中最值得擔心的是專門盜取網路存取權限然後賣給其他駭客使用的集團,因為他們所提供的存取權限通常比較可靠,並且保證買家一定能夠進入系統。不論是哪一種 AaaS 集團對企業都很麻煩,但後者肯定更為棘手,因為企業會很難發現他們是如何突破企業的防線。
延伸閱讀:組織型網路犯罪案例:CISO 該知道些什麼?
2.勒索病毒服務
勒索病毒服務 (Ransomware as a Service,簡稱 RaaS) 是勒索病毒攻擊一直歷久不衰的原因之一,這類服務提供了必要的工具和技巧讓一些技術能力較差的犯罪集團能對大型企業發動攻擊來索取鉅額贖金,例如 SolarWinds 的案例。
RaaS 勒索集團就靠著這種新發現的商業模式在 2022 年第一季成長了 63.2%。根據趨勢科技 2022 上半年網路資安報告發現,2022 上半年有超過 50 個活躍的 RaaS 與勒索集團總共襲擊了 1,200 多家企業機構。
其中 LockBit、Conti 和 Blackhat 是前六個月當中最活躍的 RaaS 集團,但一些新的集團 (如 Black Basta 和 SolidBit) 也在持續成長。
3.防彈主機代管
能夠抵擋使用者舉報與執法單位掃蕩的穩定網站代管服務,對於網路犯罪集團能否隱密而順暢地運作至關重要。防彈主機代管服務基本上就是出租給駭客躲藏的場所,駭客能在上面儲存檔案以及攻擊行動所需的惡意程式。
Void Griffin 是第一個在 2015 年開始提供快速變換 (fast-flux) 防彈主機代管服務的集團,一直受到許多不同 APT 集團以及不少重要惡意程式家族的青睞。
延伸閱讀:深入調查 Void Griffon 防彈主機代管服務
4.群眾外包
網路犯罪集團已經開始採用群眾外包的方式作為他們的研發手段,藉此發掘新的攻擊手法。這種相對較新的網路犯罪集團在過去兩年越來越多。Trend Micro Research 發現惡意程式集團在地下市集舉辦了許多公開競賽來尋找一些全新、有創意的攻擊手法。
其中有些競賽是為了挖掘人才 (有點像「美國好聲音」與「美國偶像」的概念),不過這種較為罕見。絕大多數的競賽都是為了挖掘知識,駭客要的是有關新式攻擊技巧、漏洞之類的技術文章。當然,最強或最有創意的手法可以獲得一筆相當可觀的獎金。這類競賽的議題通常很廣,而非僅限於特定單一領域。
Trend Micro Research 預測這類群眾外包的競賽會越來越多,使得網路犯罪創新速度加快。而且這樣的創新也不一定必須是什麼重大發現,即使是一些小小的突破,也足以讓犯罪集團避開一些現有的防禦。
網路資安防禦策略
那麼,您該如何應付這些不同類型的網路犯罪集團呢?可惜,企業不能直接跳進網路犯罪地下市集來阻止群眾外包行為。不過企業倒是可以努力防範或限制其活動,建立一套以偵測及防範駭客首次入侵為重心的網路資安防禦策略。
您越早偵測到首次入侵活動,您就越容易防止攻擊演變到後續階段,例如被駭客植入勒索病毒。以下是您在建立一套有效的資安策略時可以考慮納入的幾項作法:
1.與具備全球威脅研究能力的資安廠商合作,持續監控公開資安事件與犯罪地下市集上的防彈主機代管服務。如此能確保您的解決方案具備最佳化防禦能力來對抗最新威脅。此外,藉由主動找出並攔截這些防彈主機代管基礎架構,防守的一方就能從源頭攔截攻擊。
2.採用零信任網路防護,導入 SASE 架構。SASE 是由三種不同防護措施所組成:零信任網路存取 (ZTNA)、安全網站閘道 (SWG) 以及雲端存取安全代理 (CASB),它能強化整體受攻擊面的防護與控管能力。
3.制定一套事件回應 (IR) 教戰守則,發掘任何可能的資安漏洞。確認您的事件回應 (IR) 團隊確實了解多重駭客可能同時存在的情境,並且知道該將心力集中在哪些地方。
4.建立 強大的修補管理策略來縮小漏洞攻擊範圍,包含:找出最相關的修補更新、建立一套零時差漏洞攻擊應變計畫、與廠商保持密切連繫,以及善用虛擬修補。
5.採用值得信賴的網路資安框架來落實密碼最佳實務原則,例如:美國國家標準與技術局 (National Institute of Standards and Technology,簡稱 NIST) 以及歐盟網路資安機構 (European Union Agency for Cybersecurity,簡稱 ENISA) 的規範。此外,網際網路安全中心 (Center of Internet Security,簡稱 CIS) 也針對優先次序判斷與資源管理提供了完善的指引,包括消除任何駭客可能發掘的弱點。
6.採用一套具備XDR 能力的全方位網路資安平台來協助彙整和交叉關聯來自端點、雲端、網路、電子郵件等等的威脅活動資料,強化可視性。
如需有關網路犯罪集團類型以及如何強化防禦策略的更多資訊,請參閱以下文章: