網路犯罪
勒索病毒準備撈更大,新商業獲利模式,將讓企業更頭痛
勒索病毒集團及其商業模式未來勢別於今日的樣貌,本文摘要說明一些可能促使犯罪集團在短期之內做出小幅調整以及長期下去可能發生大幅變革的誘因。必有別於今日的樣貌,本文摘要說明一些可能促使犯罪集團在短期之內做出小幅調整以及長期下去可能發生大幅變革的誘因。
勒索病毒商業模式:未來的發展和趨勢
現代化勒索病毒(勒索軟體,Ransomware) 攻擊已成為近年來企業可能面臨的最危險的網路資安事件之一,為此趨勢科技特別針對勒索病毒集團當前的現況及未來的可能發展方向進行一番研究。有鑑於除了勒索病毒之外,還有其他更賺錢的網路犯罪商業模式,而且影響此非法行業的地緣政治與經濟條件正在不斷變化,因此我們檢視了一些可能促使勒索病毒商業模式在設計和經營上發生變化的誘因。
本文摘要說明「勒索病毒商業模式的短期與長期未來」(The Near and Far Future of Ransomware Business Models) 報告當中詳述的一些促使勒索病毒服務 (RaaS) 集團對其當前營運方式進行小幅調整的可能誘因 (參閱「演變」一節)。此外,我們也檢視在更長遠的未來,當這些誘因及小幅演變逐漸累積之後,犯罪集團可能做出哪些更大的變革來追求其他潛在的長期目標 (參閱「變革」一節)。雖然該研究報告提出了五項關鍵因素,但本文只挑出其中三點來討論:
- 當迫不得已,勒索病毒集團將改用其他犯罪商業模式 (不論線上或線下),例如:放空某股票然後散布假消息或其他型態的金融詐騙、變臉詐騙 (BEC)、虛擬加密貨幣竊盜等等,以便將突破防線的能力轉化成獲利。
- 勒索病毒集團將進一步演化,並在攻擊過程當中導入更多自動化、改善營運安全 (OpSec)、開拓新的雲端與物聯網 (IoT) 攻擊目標。Linux 勒索病毒同樣也會繼續成長。
- 虛擬加密貨幣犯罪將大幅成長,勒索病毒集團早晚會投入加密貨幣犯罪。
勒索病毒所仰賴的關鍵地下服務
多年下來,勒索病毒已融合了各種公開勒索的手法。我們看到勒索病毒集團及其商業模式從來就不固定,他們就像那些賺錢的企業一樣,必須隨著科技和環境變化而不斷調整。這不禁讓我們思考:勒索病毒的下一步是什麼?
要回答這個問題,我們得先看一下今日勒索病毒運作模式的各個環節,以及勒索病毒集團如何在每個環節上做些變化及客製化來配合其攻擊目標的環境。每一環節都可被視為促使整體生態系運作的個別單元:
改變的誘因
如同合法企業,勒索病毒集團認為其部署與攻擊行動就像企業在拓展業務一樣,這也反映在一些深深影響其運作的內部及外部改變。以下舉出兩項關鍵誘因作為範例來詳加說明,如需完整的誘因清單,請至此處下載我們的報告。
📍誘因 1:政府對虛擬加密貨幣加以管制
虛擬加密貨幣是現代化勒索病毒持續成長和擴張的決定性因素之一。跨境轉帳的方便性,以及可隱藏贖金收款人真實身分的優點,是虛擬加密貨幣受到網路犯罪青睞的原因,勝過其他正當用途。從這個角度來看,政府對虛擬加密貨幣採取嚴厲的管制確實有助於減少勒索病毒集團對它的濫用。
眼前一個最佳的例子就是歐洲議會提出了一套相當嚴格的虛擬加密貨幣法規。該法規一旦生效,其最值得注意的要求就是所有虛擬加密貨幣交易都必須揭露付款人與受款人。揭露虛擬加密貨幣匯款人與收款人的要求將嚴重衝擊非法使用者,尤其是勒索病毒集團與駭客。雖然其他地區也針對虛擬加密貨幣實施了一些使用管制,但相對上卻較為溫和,且用意是為了保障投資人與消費者的長期利益。
📍誘因 2:IT 資安情勢的改變與雲端普及
越來越多企業都在將資料中心「去中心化」並移轉至雲端,同時也紛紛採用包含遠距上班在內的混合上班模式。隨著雲端基礎架構的進一步發展,以及越來越多元件暴露在網際網路上,這些都是企業的潛在破口,是駭客用來尋找入侵企業網路與關鍵系統的新途徑。
資安人員一直在試圖降低企業網路所面臨的風險,然而,連網裝置數量的增加並且對外連上網際網路,讓駭客的入侵管道因而變多,這一點可從 Shodan 自 2018 年以來掃描到的遠端桌面協定 (RDP) 連接埠外露數量就能看出端倪。
RDP 連接埠 3389 依然是勒索病毒犯罪集團經常用來突破防線、駭入企業內部基礎架構連網系統的熱門途徑。不過,隨著越來越多企業移轉至雲端檔案儲存服務與雲端 Active Directory服務,勒索病毒集團將尋找更多機會來開發和攻擊一些目前尚未大量普及的漏洞。
演變
基於上述誘因,現代化勒索病毒犯罪模式未來將出現一些漸進式演變。從商業角度來看,這些是從當前情勢「自然衍生」的改變。以下列舉勒索病毒集團在短期誘因下可能採取的兩項漸進式演變。如需完整的演變清單與相關討論,請至此處下載我們的報告。
📍演變 1:目標端點的改變:物連網 (IoT) / Linux
2016 年現身的 Mirai 殭屍網路是一個轉捩點,證明惡意程式有能力將版圖拓展至 Linux 裝置和雲端。雖然它並不是勒索病毒,但由於該殭屍網路的原始程式碼已經被公開在網路上,任何有興趣或具備技術能力的人都能下載原始程式碼來重新加以組譯並感染以 Linux 為基礎的路由器,建立屬於自己的殭屍網路。這意味著兩件事:
- 駭客已有現成的程式碼可攻擊 Linux 裝置,只需針對類似裝置稍加修改。
- 駭客只要在網際網路上看到含有資安漏洞的目標,就能馬上利用這項能力。
所以,勒索病毒集團可能會尋找新的 Linux 目標,或者修改目前手上的程式碼來攻擊新的平台 (例如雲端基礎架構),而這也衍生出新的發展方向:
- 勒索病毒集團將目光集中在一般的 Linux 伺服器。
- 勒索病毒集團開始攻擊備份伺服器。
- 勒索病毒集團開始攻擊其他採用 Linux 的 IoT 裝置。
隨著 Linux 伺服器、雲端及 IoT 裝置日益普及,勒索病毒集團已意識到攻擊這些端點裝置將帶來不錯的商機,而且這樣的轉變也許能帶來不錯的獲利,因為這些裝置:
- 運算能力夠強,可支援強大功能。
- 幾乎隨時都連上網際網路。
- 含有大量寶貴資訊,不論是個人或非個人資訊。
- 經常含有漏洞,而且廠商已不再支援。
針對 NAS 網路儲存裝置的攻擊和濫用就是一個廣為人知的例子,但駭客的目標絕對不會僅止於此。
📍演變 2:透過更高的專業能力及自動化不斷自我升級
RaaS 犯罪集團對企業和使用者所造成的中斷與損失讓 RaaS 越來越囂張,某些勒索病毒集團甚至會接受媒體專訪。但這些勒索病毒集團不知道的是,就在他們接受專訪的同時,他們的 RaaS 基礎架構已經被資安研究人員滲透並遭到監控。
儘管許多 RaaS 集團都將網站隱藏在 Tor 伺服器上,但資安研究人員與執法單位已經明確找到這些網站的 IP 位址。這意味著,這些後台伺服器上儲存的任何未加密資料可能都已成了執法單位的囊中物。
相較於這些囂張的集團,其他勒索病毒集團就更重視營運安全 (OpSec),他們不會跟媒體接觸,也盡可能不與受害者互動,他們的網路也沒有遭到入侵的記錄。如果那些囂張的勒索病毒集團可以學學這些默默無名的同行:一方面維持低調,一方面提升專業能力,那他們的 RaaS 業務也許還可以經營久一點。
同理,勒索病毒攻擊的自動化,不僅能降低風險,還能提升駭客集團的擴充能力。儘管量身訂做的手動攻擊成功率較高,但更多的手動作業意味著更高的風險,因為需要更多人力來完成工作。除了營運上的人為錯誤之外,過去也曾發生心生不滿的駭客出賣其他同志或將其相關資訊外流到網路上的案例。
此外,自動化還能讓勒索病毒集團統計並判斷哪些通路可以帶給他們更多營收:提高自動化也許會降低每一勒索病毒受害者所貢獻的營收,但若能因此增加受害者數量,也有可能會提高整體總營收。此外,假使能透過自動化來省去突破防線與橫向移動部分的外部加盟者,還可降低成本並加快營運,例如使用大規模漏洞攻擊手法或類似蠕蟲的功能。另一個可以被取代的是負責與受害者協調贖金的人力,例如改用自動化聊天機器人,如此可減少犯罪集團人員與受害者之間的通訊。一旦那些攻擊大型企業的勒索病毒集團了解到自動化在風險與獲利上的好處之後,他們就會開始趨之若鶩。
變革
小幅演變的不斷累積,最後將導致勒索病毒集團採取更大幅度的變革。某些變革已有資安人員曾經討論過,例如,從營利導向的駭客集團搖身變成國家級駭客的協力者,追求國家或領導人的利益,將勒索病毒攻擊當成掩護其真實意圖的煙霧彈。有些 RaaS 集團的改變也許是因為雲端普及或是漏洞與漏洞攻擊手法自然演進的結果。還有一些則可能是為了提高獲利而對其犯罪商業模式做出較大幅度的改變。以下討論長期未來勒索病毒集團可能發生的兩種變革。如需完整的變革清單與相關討論,請至 此處下載我們的研究及洞察。
📍變革 1:駭入虛擬加密貨幣交易所或竊取虛擬加密貨幣
比起勒索病毒的贖金,虛擬加密貨幣詐騙和竊取虛擬加密貨幣,反而更有利可圖。在當前的環境及條件下,勒索病毒集團並無動機必須換掉現有的勒索病毒商業模式而改用其他伎倆。不過,許多 RaaS 集團用來突破企業防線的技巧,也可用來入侵虛擬加密貨幣交易所。他們一旦駭入交易所,就能竊取虛擬加密貨幣,而非需部署勒索病毒程式。
根據報導,目前已有某些集團 (如 Lazarus) 開始探索這類商業模式。該集團原本就會入侵一些傳統及新式的金融服務平台來獲利,現在更從這類虛擬加密貨幣或銀行相關竊盜事件嘗到了甜頭。
📍變革 2:將勒索病毒程式換成變臉詐騙 (BEC)
變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise, BEC)是一種對詐騙集團來說非常賺錢的網路犯罪手法。變臉詐騙會利用企業高階主管的一些公開資訊來誘騙他們將大筆款項匯入駭客帳戶,據估計,從 2016 至 2021 年,變臉詐騙造成的損失已累積高達數十億美元。相較於勒索病毒,變臉詐騙的獲利空間遠大於勒索病毒攻擊。
在使用突破防線的技巧入侵企業系統之後,勒索病毒集團也可竊取資訊來發動變臉詐騙攻擊,而不是部署勒索病毒程式。一旦掌握了內部員工資訊,再結合社交工程技巧,駭客將比單獨仰賴公開來源資料擁有更強大的武器。儘管,相較於單純地勒索贖金,駭客必須投入更多資源來學習如何運用社交工程技巧以詐騙企業高階主管,但所獲得的報酬卻輕易勝過所需的成本。
洞見
我們今日所知的勒索病毒商業模式,是勒索病毒集團多年來累積各種獲利手法加以融合的結果。從這角度看來,我們合理推論勒索病毒集團及其商業模式短期之內或未來長期都會持續不斷演變。
從我們觀察到的一些小幅演變誘因,再加上犯罪集團彼此之間的競爭,這些改變幾乎是可以預期且會自然發生。制裁行動也許能暫時遏止犯罪集團的活動,但這只能解決和回應昨日的問題,並不一定能應付當前或未來的攻擊。相形之下,勒索病毒集團長期下去應該會根據外在環境的變化、自身的獲利能力、整體行動目標的效益和缺點而做出較大幅度的變革。
但不論改變的幅度為何,資安研究人員與資安實務工作者都應將這些謹記在心,當成一種針對未來策略預作準備的練習。此外,相關決策人員,如:資安長 (CISO)、資安營運中心 (SOC) 及 IT 團隊應彼此合作,隨時調整並部署防禦及解決方案,盡可能在駭客入侵的前期階段提早加以攔截。
如欲閱讀有關當前及未來勒索病毒集團及其商業模式的完整分析,請下載我們的研究報告「勒索病毒商業模式的短期與長期未來」(The Near and Far Future of Ransomware Business Models)。此外,您也可以在下載頁面「勒索病毒的未來」(The Future of Ransomware) 閱讀這份研究所探討的其他重點。
⭕️ 企業用戶
建議企業採用一套跨世代的多層式防護技術來防止最新勒索病毒攻擊,在適當時機套用適當的技術來保護您的使用者和資料。》立即前往了解
⭕️ 一般用戶
PC-cillin 防詐防毒、守護個資,支援Windows11 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
假使您也不幸成了受害者,請保持冷靜,最好向外尋求協助,但不要支付贖金。而平時,最好可以安裝一套防毒軟體的即時防護。如 趨勢科技 PC-cillin 的「勒索剋星」可為您的寶貴檔案提供多一層防護。》立即免費下載試用