勒索软体大转型,防御难度提升:黒产供应链经营成本高,锁定有能力付赎金的知名企业
勒索软体为了提高勒索的成功率,也开始数位转型,尤其是一些骇客集团开始锁定大型企业作为狩猎(Big game hunter)标的。也就是说,这些骇客集团为了确保被勒索的企业,有能力且有意愿支付勒索赎金,从过往漫天撒网的掳资料、加密勒索的方式,进阶到锁定特定产业或特定企业的针对式勒索。
因为加密货币出现,解决以往骇客集团最伤脑筋的金流问题,也带动各种不同骇客集团开始透过勒索软体加密企业资料的方式,向受骇企业要求支付赎金。
面对勒索软体持续进化、锁定知名企业下手,以及黒色产业供应链的种种发展态势,台湾资安公司奥义智慧共同创办人丛培侃日前在HITCON Freetalk的研讨会中,提出他们的观察分析。
近期,骇客组织为了确保赎金一定到手,已经启动了「双重勒赎」的作法,意即骇客集团在加密企业资料之前,也同步备份一份企业资料,一旦企业不愿意针对加密资料支付赎金,骇客集团便威胁在网路上公布企业的机敏资料。「骇客透过加密档案以及外泄机敏资料的双重手法,确保企业一定肯支付赎金的作法,就是双重勒赎。」他说。
面对骇客集团的勒索,企业也担心:一旦骇客公布企业机敏资料该怎么办?受骇新闻若持续发酵,是否会影响公司正常营运?生产供应是否受创?是否违反当地法遵要求的压力和恐惧。同时,因为不知道骇客是从什么地方入侵企业,也不知道未来是否还会持续入侵?受骇后,有哪些资安解决方案可以派上用场?
甚至于,企业为了即时恢复系统运作,电脑重灌成为最常见的手法,但也因此毁掉许多骇客入侵的轨迹和相关的登录档(Log),就连是否应该支付赎金的决策,都得在更短的时间内做决定,这也使得找到骇客入侵企业的根因,更是难上加难。
丛培侃坦言,企业为了第一时间恢复正常营运、系统可以上线维运,资安业者在协助企业处理勒索软体的过程中,就是一场和时间赛跑的竞赛。而这些受骇企业对资安业者的要求就是,将解密被勒索软体加密的企业资料和档案,最好能够无缝让企业的系统上线运作。但事实上,企业的要求和资安公司可以提供的解决方案之间,往往有很大的落差。
他也以过往协助客户面对勒索软体威胁的经验表示,资安业者必须要识别勒索软体的种类,评估有没有办法解密、演算法有没有漏洞、采用何种加密方式,甚至也要针对骇客集团进行背景调查。
因为,如果是遇到恶名昭彰的骇客集团绑资料勒索的话,企业根本没机会商量赎金杀价与否,只有乖乖支付赎金一条路而已。
勒索软体出现「帮派化」现象
综观现在勒索软体的散播管道上,有些是是透过恶意程式服务平台Malware as a Service(MaaS)的傀儡网路(Botnet)上架,丛培侃解释,这就类似有规模的帮派,各地有堂口帮忙乔事情。
常见的傀儡网路包括:今年1月才被八国联军抄底的Emotet,以及常见的Trickbot、Zeus和Dridex等,而使用的攻击手法精良,类似APT渗透技能,像是:BloodHound、Cobalt Strike、Empire等。
他也说,骇客集团要在恶意程式服务平台上架勒索软体,支付成本相对高,所以会锁定有支付能力的大型制造业、高科技制造业等金鸡母,这些大型企业经常是财报发表后,就遭到骇客集团勒索。
也因为骇客投注很多的成本,为了达到让企业支付赎金的目的而不择手段,所以,企业要跟骇客杀价赎金的空间就比较小,甚至还有难缠的无良骇客——即便拿到赎金,也不打算或是无法将档案解密。
供应链所费不赀,骇客专挑知名企业勒索,因对方能付赎金
目前常见的攻击流程可以分成三层式,第一层,也是整个勒索即服务的最上游,骇客组织透过傀儡网路散布勒索软体,例如Emotet或是Trickbot等;第二层就是中游,则是勒索软体供应商,像是Conti、Ryuk,或是BazarLoader等,虽然上游之一的Emotet被执法单位抄底,但这些勒索软体供应商可以花时间,再找其他的MaaS平台上架即可;第三层就是下游,也是这整个勒索即服务流程中的受骇企业。
由上述的流程可以发现,骇客透过MaaS傀儡网路平台上架勒索软体,所费不赀,在每一个环节都必须支付不少成本,因此,如果受骇企业不愿意支付赎金的话,骇客集团就无法付钱给上游和中游的供应链业者,他们也就会亏本。
这也是为什么,骇客集团会精准锁定营收好、好打、国际知名,且加密档案被解密后,还会愿意支付赎金的企业,作为标的,并且会不择手段逼迫企业支付赎金。像是,以色列业者Clearsky追踪骇客集团Conti数位货币钱包位址的动向,他们发现,当骇客集团收到企业赎金后,数位货币的金流会流向其他上游厂商。
此外,为了确保企业一定会付赎金,除了加密档案向企业勒索外,也会在加密前先备份企业档案,如果企业不愿意之付赎金解密档案的时候,骇客就会威胁将「骇客备份」的资料外泄到暗网中,这也是企业最担心、恐惧的部份。丛培侃认为,骇客组织对企业的各种威吓手段,除了利用工具加密外,也包含不少恫吓受害者内心的攻防手段在内。
此外,也有不用恶意程式服务平台上架的勒索软体,他说,因为骇客集团不需要支付软体上架等其他太多成本,这些骇客集团就像是一般街头小混混,锁定防护能力较弱的中小型制造业、医院、学校或知名企业等。
因为使用的手法粗糙、没有客制化病毒的能力,所以企业在跟这类骇客集团进行赎金谈判时,沟通看起来相对容易,有比较大的杀价空间,但勒索软体本身的漏洞多,有时候,企业被加密的档案,骇客集团不一定有办法解开。
丛培侃表示,暗网有很多兜售勒索软体的一站式服务,把勒索软体当成一种服务贩售,也就是Ransomware-as-a-Service(勒索软体即服务),骇客不仅可以自己产生加密金钥、躲避侦测组合,还可以自定勒索讯息和选择想要加密的档案类型。他说,这些骇客多来自东欧、乌克兰等地,相关勒索软体即服务看起来人人都可以轻易上手使用,任意发起小规模攻击,还是会有企业付钱,
发动一次勒索,平均可以获得五颗比特币(25万美金)赎金,但他强调,这些恶意程式本身都藏有后门程式,一旦使用者启用了该服务去进行勒索,骇客作者不仅知道谁用的、勒索谁,连使用者在哪里都一清二楚,因此,千万不要随便去暗网买个勒索即服务,就觉得可以轻易赚到企业的赎金,其中有很高的风险和危险性。
他指出,以前的金融木马是为了取得银行帐号作为洗钱之用,现在的金融木马却是采用敏捷开发、实践软体迭代开发的病毒。
此外,也有不用恶意程式服务平台上架的勒索软体,他说,因为骇客集团不需要支付软体上架等其他太多成本,这些骇客集团就像是一般街头小混混,锁定防护能力较弱的中小型制造业、医院、学校或知名企业等。
因为使用的手法粗糙、没有客制化病毒的能力,所以企业在跟这类骇客集团进行赎金谈判时,沟通看起来相对容易,有比较大的杀价空间,但勒索软体本身的漏洞多,有时候,企业被加密的档案,骇客集团不一定有办法解开。
丛培侃表示,暗网有很多兜售勒索软体的一站式服务,把勒索软体当成一种服务贩售,也就是Ransomware-as-a-Service(勒索软体即服务),骇客不仅可以自己产生加密金钥、躲避侦测组合,还可以自定勒索讯息和选择想要加密的档案类型。他说,这些骇客多来自东欧、乌克兰等地,相关勒索软体即服务看起来人人都可以轻易上手使用,任意发起小规模攻击,还是会有企业付钱,
发动一次勒索,平均可以获得五颗比特币(25万美金)赎金,但他强调,这些恶意程式本身都藏有后门程式,一旦使用者启用了该服务去进行勒索,骇客作者不仅知道谁用的、勒索谁,连使用者在哪里都一清二楚,因此,千万不要随便去暗网买个勒索即服务,就觉得可以轻易赚到企业的赎金,其中有很高的风险和危险性。
他指出,以前的金融木马是为了取得银行帐号作为洗钱之用,现在的金融木马却是采用敏捷开发、实践软体迭代开发的病毒。
勒索软体攻击若要得逞,我们可以进一步分析常见的入侵手法,一般而言,骇客透过远端桌面帐密及漏洞获取权限后,便在企业电脑中植入Dridex病毒以窃取资料,然后,透过永恒之蓝(EternalBlue)或Zerologon的漏洞,在企业内横向移动并取得企业内AD(目录服务)控制权后,伺机发动大规模勒索攻击。
他也说,该骇客集团除加密档案外,也同时恐吓受骇企业用户,如果企业不愿意支付赎金的话,骇客将会在暗网泄漏企业资料,借此恐吓受骇企业支付高额赎金。包括电脑制造业者仁宝科技在内,都是透过Dridex、Emotet等垃圾邮件邮件散布勒索程式。
另外,工业电脑大厂研华也传出遭到勒索软体Conti外泄一批3GB的内部资料,这也证实骇客集团为了逼迫受骇企业支付赎金,会外泄部分内部资料,证明他们的确拥有受骇企业的内部资料。
其实,关于勒索软体的散播,不管是DoppelPaymer,或是conti,以及类似的Ruyk,都是透过像是Dridex、Trickbot或是Emote对外散布,其中,最早出现在去年七月的Conti勒索软体,专门锁定金融及教育产业、私人企业、政府部门、健康及医疗产业、大型与中小型企业,几乎可以想见的企业都包括在内,一直到今年初,Conti则成为最常见的勒索软体之一。
骇客为确保赎金到手,不仅加密资料还向受害者恐吓外泄
勒索软体也可以依照规模,区分成三类,丛培侃表示,第一级属于组织庞大、演化许久的勒索软体,像是攻透过Dridexn散布的DoppelPaymer(攻击鸿海),或是其他常见的Egregor、 Maze勒索软体,下面还包括其他类似的勒索软体,像是Netwalker、Revil(外传攻击宏碁电脑Acer的骇客集团)、透过Emotet散布的Ryuk,以及透过Dridex散布的、攻击卫服部的GlobeImposter等,都是属于又资深、规模又大的第一级勒索软体。
第二级则是规模次之、较为新进的勒索软体,常见的Conti、WastedLocker,或是其他的Avaddon、IOCP、 Clop、Darside、Pysa/Mespinoza、Ragnar、Ranzy、SunCryptThanos都归于此类。第三级则是更新、规模小也比较不常见的勒索软体,包括:Cvartk、Exorcist、Gothmog、Lolkek、Muchlove、Nemty、Rush、Wally、XINOF和Zeoticus等。
而上述每一级的勒索软体,都会利用其网路犯罪集团的黑产供应链,目的就是要逼受骇企业之付赎金。
因为勒索软体持续进化,丛培侃表示,现在进入勒索软体2.0的时代,骇客追求更聪明、更快、更有效率,希望做到在最短时间内,加密最多档案以达到最大破坏力,他说:「勒索软体2.0更是实践档案加密最佳化的案例。」
随着勒索软体2.0发展,勒索软体也升级SEEL四部曲,先「偷(Steal)」,接着「加密(Encrypt)」,之后「勒索(Extort)」,最终「外泄(Leak)」。
丛培侃表示,偷的部份,主要是使用APT手法入侵,攻击大部分人为操作部分,锁定单位AD(目录服务)主机,锁定重要资料,例如HR、SAP REP、MES、财会系统等资料,再传输到云端硬碟。
紧接着加密部分,在AD伺服器部署加密程式,并在AD设定定时炸弹,实施档案加密阶段;勒索的作法则包括:在暗网外泄相关档案资料的资讯后,寄给受骇企业IT人员相关勒索讯息,并同步持续窃取企业资料;外泄则像是挤牙膏一样,逐步泄漏企业资料,也会公布外泄资料进度比例。
不过,他也说,骇客为了达到逼迫受骇企业支付赎金的目的,在勒索软体加密企业电脑后,骇客也会针对受骇企业的IT、资安或CSIRT人员广发信件,并威胁企业如果不付赎金的话,就会在暗网公布外泄资料,而这种加密资料又威胁外泄资料的作法,称之为双重勒索。不过,丛培侃也笑说,当企业在暗网外泄资料达百分之百后,企业的资料就成为开放资料,网路上都可以找回来,但多数企业都等不到这个时候,也无法接受这样的建议。因为骇客背后通常是庞大的组织,很难对锁定攻击的企业收手,除非,骇客打不赢受骇企业。
常见的勒索软体攻击流程以分成三层,最上游是指骇客组织透过傀儡网路散布勒索软体,例如Emotet或是Trickbot等;中游则是勒索软体供应商,像是Conti、Ryuk,或是BazarLoader等,虽然上游之一的Emotet被执法单位抄底,但这些勒索软体供应商可以再找其他的MaaS平台上架;下游是指整个勒索即服务流程中的受骇企业。
暗网有很多兜售勒索软体的一站式服务,把勒索软体当成一种服务贩售,也就是Ransomware-as-a-Service(勒索软体即服务),骇客不仅可以自己产生加密金钥、躲避侦测组合,还可以自定勒索讯息和选择想要加密的档案类型。
勒索软体依照规模可分成三类,第一级属于组织庞大、演化许久的勒索软体,第二级则是规模次之、较为新进的勒索软体,第三级则是更新、规模小也比较不常见的勒索软体。
勒索软体大转型,防御难度提升:黒产供应链经营成本高,锁定有能力付赎金的知名企业相关推荐
- 企业信息安全应对勒索软件的攻击难度提升
不同等级的勒索软件在不同企业中的应用 其实,关于勒索软件的散播,不管是DoppelPaymer,或是conti,以及类似的Ruyk,都是透过像是Dridex.Trickbot或是Emote对外散布,其 ...
- 2023下半年软考中级考试科目-2023年11月软考中级科目难度排行
软考中级资格考试科目分为基础知识和应用技术,基础知识在上午考试,应用技术在下午考试,两个科目的考试题型也有所不同. 基础知识考试题型为客观选择题,共计75道选择题,每小题1分:应用技术为主观问答题,一 ...
- 防堵Locky、CryptoLocker、CoinVault等勒索软体的运作
2019独角兽企业重金招聘Python工程师标准>>> 勒索软体预防工具 Disable WSH - 防堵Locky.CryptoLocker.CoinVault等勒索软体的运作,对 ...
- 计算机等级考试价值,软考和全国计算机等级考试谁的价值更高?
原标题:软考和全国计算机等级考试谁的价值更高? 计算机软考全称为计算机技术与软件专业技术资格考试,是由国家人事部.工信部领导组织对计算机专业技术资格的认可考试.每年举行两次,分别是五月份和十一月份,分 ...
- 《转载》工作5年左右的程序员如何在职业瓶颈期内快速提升自己的身价?提升后如何有效变现自己的高质量技能?...
工作5年左右的程序员如何在职业瓶颈期内快速提升自己的身价?提升后如何有效变现自己的高质量技能? 当一般的程序员工作5年左右后,往往会遇到事业上的一个瓶颈期:能力上已经达到高级开发,工资比上不足比下有余 ...
- 刚刚GitHub 收购 npm,旨在提升开源软件供应链安全
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 刚刚,GitHub 在官网上宣布GitHub 已签署收购 npm 的协议.全文编译如下: 我很高兴地宣布,GitHub 已签署npm ...
- Atitit外包优缺点 提升开发效率 外包模式 1.一般来说外包优点 1.1.更加方便快捷 时间成本降低了 1.2.会导致 经济成本高,,时间成本降低了, 2.缺点 2.1.成本高 2.2.
Atitit外包优缺点 提升开发效率 外包模式 一般来说外包优点 更加方便快捷 时间成本降低了 会导致 经济成本高,,时间成本降低了, 缺点 成本高 缺少控制 但是少部分,比如理发,经济时间成本都 ...
- 如何提升你的数据结构、算法以及解决问题的能力
如何提升你的数据结构.算法以及解决问题的能力 这篇文章借鉴了我过去在学校一个学期的个人经历和挑战,当我进入学校的时候,我对任何 DSA(数据结构和算法)和解决问题的策略几乎一无所知.作为一名自学成才的 ...
- 乐淘网转型卖鞋子称物流是电子商务最大成本
乐淘网转型卖鞋子称物流是电子商务最大成本 http://www.sina.com.cn 2010年07月26日 0 ...
最新文章
- 有空间感的图片环形滚动代码
- python不好的地方_Python 语言中经常有疑惑的地方
- 成功解决ValueError: Shape of passed values is (1, 332), indices imply (1, 1)
- OSCACHE(转)
- 职业寿命取决于营销理念
- 小博老师解析Java核心技术 ——JSwing绘图技术
- java多张图片合成一张_1分钟学会“全景照片”拍摄技巧,从单反拍摄到PS合成,收藏备用...
- access实例_西门子PLC1200组态王跟Access数据库-⑥组态王变量
- php get请求_《细说PHP》第四版 样章 第23章 自定义PHP接口规范 10
- 【编程语言】Python-Pandas库中的透视表
- Linux常用文档操作命令--2
- Web浏览器没有Flash如何播放RTMP协议直播
- 【考研日记1】:看到2016年数学考的如此之难后
- 9小时速返地球!刚刚,神舟十三号返回舱平安降落,三位航天员“感觉良好”...
- opengl导入obj模型
- 痛失阵地,又一家热门BT种子观影网站关停
- ssm电子族谱信息管理系统的设计与实现毕业设计-附源码161714
- Python探索性数据分析
- Grid Control一些术语GC、OMS、OMR、OMA的概念
- 图解希尔排序(Shell Sort)