【2023年4月12日,台北訊】全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704) 發布最新研究,說明網路犯罪集團業務規模擴大時,其運作將開始越來越像一般企業,同時也須面對隨之而來的成本與挑戰。
完整報告「網路犯罪組織內部運作」(Inside the Halls of a Cybercrime Business)
趨勢科技威脅情報副總裁 Jon Clay 表示:「網路犯罪地下市場正快速邁向專業化,隨著犯罪集團的成員與營收增加且日益複雜,他們也紛紛開始模仿一般合法企業。然而,網路犯罪組織變大卻可能更難管理,而且會出現更多辦公室角力、混水摸魚以及成員互信的問題。這份報告指出, 資安調查人員在面對一個網路犯罪組織時,了解其規模的大小至關重要。」
繼續閱讀本文探討當今最主要的四種網路犯罪集團:存取服務、勒索病毒服務、防彈主機代管,以及群眾外包,並提供一些協助您強化防禦策略的祕訣。
所謂「眾志成城」,同樣的道理也適用於網路犯罪集團。為了提高網路攻擊的成功率,專精不同領域的駭客集團已經開始聯合起來組成所謂的「網路犯罪服務」(Cybercrime as a Service,CaaS)。
我們看到駭客們正開始分工合作,各自負責整個攻擊程序的不同階段。這意味著,我們將看到駭客更少因為犯錯而被逮到,此外也預料,在一個受感染的網路當中,將出現多個犯罪集團同時存在的情況。
目前,CaaS 大致上可細分成四種:
若從事件回應團隊的角度來看,這意味著他們必須找出整起攻擊當中負責執行不同階段的不同駭客集團,這將使得攻擊的偵測及攔截變得更難。所以,如果能夠掌握駭客常用的手法、技巧與程序 (TTP),將有幫助於資安長 (CISO) 和資安領導人強化網路資安策略並降低風險。
繼續閱讀從徵文到舉辦黑客松比賽,網路犯罪集團正透過群眾外包 (crowdsourcing) 方式來尋找更多攻擊系統的方式。這類競賽的優勝獎金正在節節攀升, 吸引了頂尖駭客,使得整個網路犯罪圈都變成了一個強大的研發團隊。本文提出我們的觀察並摘要說明這類競賽的成果。
網路犯罪集團已開始在論壇上舉辦各種競賽作為一種非正規的研發方法。本文提出我們對這類競賽的一些重要觀察。
這類競賽非常多元,從公開徵求介紹新技術的文章,到舉辦可強化其防禦的黑客松競賽,在我們的這篇文章當中都有詳細的說明。
以下是摘要列出該文章的重點:
網路犯罪經常將群眾外包當成一種研發方法,這種在網路犯罪論壇上舉辦的公開競賽,就好像是網路犯罪圈的《美國偶像》或《美國達人秀》節目一樣。有別於傳統的XPRIZE競賽,網路犯罪圈不需要革命性的突破就能獲勝,只要能稍微領先今日的資安防禦,就能帶來龐大的中期效果。長期下來,這類競賽就有可能衍生出某種革命性的突破。隨著競賽日益頻繁,就統計學上來看,競賽的優勝者必定會越來越有創意,總有一天會幫網路犯罪產業帶來突破性的進展,這就是所謂「黑天鵝」效應。【2021年6月10日,台北訊】全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天發表一份關於 Nefilim 勒索病毒集團的研究報告,報告中詳細說明最新勒索病毒攻擊的深入分析與洞見,包含勒索病毒集團的最新發展、他們如何躲避偵測,以及企業如何利用進階多層式偵測及回應為核心的威脅防禦平台來攔截這類威脅。
最新勒索病毒家族的犯案手法,讓原本就已疲於奔命的資安營運中心 (SOC) 和 IT 資安團隊,更難偵測及回應這類威脅。這不僅影響到企業的獲利能力和商譽,更影響到 SOC 團隊日常維運。
趨勢科技網路犯罪研究總監 Bob McArdle 表示:「最新勒索病毒攻擊運用了進階持續性滲透攻擊 (APT) 集團長期磨練出來的方法,因此非常具針對性、適應性及隱密性。像 Nefilim 這樣的集團會藉由竊取資料與鎖住企業關鍵系統來勒索一些獲利頂尖的全球企業。這份最新的報告對於每位想要徹底了解這急速成長的地下經濟,以及想知道 Trend Micro Vision One 如何協助企業加以反擊的企業人員來說,都是一份必讀資料。」
在該報告從 2020 年 3 月至 2021 年 1 月所研究的 16 個勒索病毒集團當中,已知受害者數量最多的四大集團分別為:Conti、Doppelpaymer、Egregor 及 REvil。而竊取資料最多的是 Cl0p集團,前後共 5TB 資料存放上線上。
Carbanak 和 FIN7 如何發動攻擊?以下分析這兩個以利益為動機並專門鎖定銀行、零售業者與其他企業目標的駭客集團常用的一些技巧。
持續監控網路犯罪集團最新動態是資安研究人員和執法單位防治網路犯罪的工作內容之一。 Carbanak 與 FIN7 是當今以利益為動機的兩大網路犯罪集團。雖然有些研究機構會將這兩大集團歸為同一個,但像 MITRE 將他們分成兩個集團,即使它們都使用 Carbanak 後門程式 來發動攻擊。不過,這些團體不僅使用 Carbanak 後門程式,也使用其他類型的惡意程式,如 PoS 惡意程式 Pillowmint 以及另一個據稱應該是用來取代 Carbanak 的惡意程式 Tirion。
除此之外,MITRE 也點出了這兩大集團的主要攻擊目標:Carbanak 主要攻擊銀行機構,FIN7 則是專門攻擊食品、醫療與零售業。
今年的 MITRE Engenuity ATT&CK Evaluations 測試結果在本週出爐,今年的測試主要模擬 Carbanak 和 FIN7 的攻擊,本文也說明了趨勢科技解決方案如何解決這些威脅。
為了提供有關 Carbanak 和 FIN7 攻擊事件的更多背景資訊,我們整理了過去有關這兩大集團的一些研究報告,而 MITRE 也列舉了這兩大集團的 ATT&CK 手法與技巧 (總共 65 項techniques,涵蓋 11 項tactics)。
根據我們對 過去另一起相關攻擊的研究顯示,駭客習慣利用 魚叉式網路釣魚來入侵系統。一旦駭入系統之後,再透過 Windows 內建的動態資料交換 (DDE) 功能與合法的雲端服務來散播勒索病毒,或建立幕後操縱 (C&C) 通訊。
