本系列三篇部落格深入剖析勒索病毒商業模式的演進 (從早期發展到最新趨勢)。
勒索病毒(勒索軟體,Ransomware) 目前已成為一種惡名昭彰又極具破壞力的惡意程式型態,對企業機構、政府機關、醫療產業以及核心基礎設施造成嚴重的財物損失。對駭客集團來說,勒索病毒一直是個非常賺錢的商業模式。不過,我們想了解在長期與短期未來當中,有哪些因素可能造成勒索病毒商業模式的改變。
趨勢科技團隊做了一番徹底的研究來了解勒索病毒的未來,分析它們經歷的各種情況:從聚焦風險評估、躲避執法機關,到設法在經營過程當中尋找更好的賺錢機會。
很顯然地,地緣政治事件 (如 2022 年俄羅斯入侵烏克蘭) 是引發變革的誘因之一。除此之外還有:政府祭出更強力的主動防禦策略、逮捕犯罪集團、制定虛擬加密貨幣相關法規來減少洗錢管道等等。我們相信這些情況都有利於建立一個更不利於勒索病毒活動、進而打擊犯罪集團的環境。
2005-2010年 假防毒軟體:勒索贖金的惡意程式始祖
前五大勒索病毒集團所使用的 CVE 漏洞嚴重性評分系統上起碼都有 7.2 分,這些漏洞主要被用來提升權限 (占 54.3%),其次是用於遠端程式碼執行 (RCE) (占 17.4%)。
由於勒索病毒集團會不斷開發更多的攻擊手法、技巧與程序 (TTP),網路資安人員很重要的一點就是要利用各種資訊來源仔細評估自身企業的風險等級,以便對持續演進的威脅能有個全面的認識。舉例來說,Common Vulnerabilities and Exposures (CVE) 漏洞資料可幫助企業判斷該優先修補哪些方面的漏洞。本文將提供一些數據來說明如何運用資料科學技巧發掘有關勒索病毒集團的珍貴洞見,詳細內容請參閱趨勢科技的研究報告「企業決策者對於勒索病毒風險應該知道的事」(What Decision Makers Need to Know About Ransomware Risk)。
在這份共同研究當中,趨勢科技與 Waratah Analytics 的研究人員整理出 120 個各種勒索病毒集團所使用的 CVE 漏洞,並發現他們偏愛攻擊通訊與協同作業軟體、虛擬私人網路 (VPN),以及遠端存取與檔案儲存技術。若依據活動量來排行,前五大勒索病毒集團分別為:Conti、Cuba、Egregor、LockBit 及 REvil (亦稱為 Sodinokibi),他們總共使用了 46 個 CVE 漏洞,入侵了 15 家廠商共 30 個含有漏洞的產品。在這五大集團當中,Conti 所使用的 CVE 漏洞數量最多,高達 32 個 (圖 1)。
繼續閱讀【2023 年 3 月 8 日台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 發布一份最新報告,指出雖然僅有 10% 的勒索病毒受害者會支付贖金,但這麼做等於讓更多其他企業受害。
完整報告「企業決策者對於勒索病毒風險應該知道的事註1」(What Decision Makers Need to Know About Ransomware Risk):
趨勢科技威脅情報副總裁 Jon Clay 表示:「勒索病毒是今日企業及政府面臨的一項重大網路資安威脅,而且它還在持續演變,這正是為何我們需要更準確的資料導向方法來為勒索病毒相關的風險建立模型。這份新的研究旨在協助 IT 決策者更了解其曝險狀況,並提供政策制定者一些所需資訊來擬定更有效、更具影響力的策略。」
該報告提供了策略性、戰術性、營運性及技術性威脅情報,並且運用先進的資料科學來找出犯罪集團的各種指標。這些指標可用來比較不同的勒索病毒集團、評估其風險,並且建立其行為模型。
以下是這份報告的主要發現:
繼續閱讀
針對關鍵基礎設施的網路攻擊會導致大規模的社會混亂並帶來巨大的經濟損失。本文將會探討該如何保護六個關鍵OT(營運技術)領域,以阻止勒索病毒(勒索軟體,Ransomware) 及其他對關鍵營運的威脅。
針對關鍵基礎設施的網路攻擊可能會導致大規模的社會混亂並帶來巨大的經濟損失。重要性讓工業IT和OT(營運技術)成為吸引勒索病毒攻擊的目標。對六個關鍵OT領域部署強大的網路防禦能夠阻止勒索病毒及其他對電網、油管或類似關鍵設施的威脅。
針對工業目標的勒索病毒攻擊正在持續上升,佔了所有工業端點惡意軟體的一半以上。它們也變得更加複雜,而且能夠利用長期未修補的漏洞及(不太常見的)零時差漏洞。通常他們會分工合作:一個網路犯罪分子(或團體)找出漏洞,另一個銷售漏洞,其他會銷售攻擊不同類型漏洞的工具,還有些人會負責處理付款流程。有些勒索病毒攻擊現在甚至升級成雙重或三重勒索。
這些發展與工業網路的發展軌跡相吻合,從只使用廠商專用通訊協定打造的封閉平台,發展到基於IP的系統,而且有越來越多會利用與其他應用程式共享的企業IP網路。透過遠端進行監控、設定和分析都已經相當普遍,同時自動化系統和現場營運也開始在利用雲端運算和邊緣運算。這些新的連線與通常更加互連的IT和OT系統相結合,持續地擴大了工業攻擊面。
【2022 年 11月 15日,台北訊】全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 調查資料顯示,金融機構評估自身防範勒索病毒的能力比其他產業更有自信,但現實是他們正面臨供應鏈風險與偵測能力偏低的情況。
趨勢科技委託 Sapio Research 在一項跨產業的勒索病毒研究報告中調查了全球 355 名金融服務業 IT 與業務負責人。
該報告發現,75% 的受訪者認為他們有足夠的勒索病毒防範能力,遠高於所有產業的平均值 63%。這點自信其來有自:99% 表示他們會定期修補更新伺服器漏洞,92% 會保護遠端桌面協定 (RDP) 端點,還有 94% 已制定規範來防範電子郵件挾帶惡意附件的風險。然而,也有 72% 的受訪者承認,他們的機構曾在過去遭到勒索病毒入侵,另有 79% 認為比起其他產業,他們所處的產業是駭客更覬覦的目標。
不過金融服務業對當前威脅情勢的認知,並未全部化為實際行動,約有五分之二的受訪企業並未採用網路 (40%) 或端點 (39%) 偵測及回應工具,而且約有半數(49%) 未採用延伸式偵測及回應 (XDR) 工具。這或許解釋了金融機構針對勒索病毒相關活動偵測率偏低的原因 — 僅有三分之一 (33%) 受訪者表示他們可以準確偵測駭客的橫向移動、44% 表示能偵測駭客首次入侵。
除此之外,趨勢科技也發現金融機構存在著重大的第三方資安風險:
繼續閱讀