勒索病毒
資安主管請注意:勒索病毒再進化的 4 類資安風險
未來勒索病毒(勒索軟體,Ransomware) 的商業模式勢必改變,以下四點預測可協助您確保自己的企業不會遭到新型態的網路勒索襲擊。
數十年來,資安領導人和資安長 (CISO) 一直在保護自己的企業免於勒索病毒襲擊,並因應技術的變遷來防範資料竊盜及關鍵系統停機的昂貴風險。然而歹徒總是能想出更多新的招數,如今,全世界的勒索病毒集團似乎正在準備掀起一場革命,好讓他們變得績效更好、更多才多藝、也更危險。
勒索病毒的商業模式將如何演變?
其實,勒索病毒的感染過程只要稍加調整就能輕易地轉成其他類型的犯罪活動。駭客可以轉而從事網路勒索、變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise, BEC)、竊取虛擬加密貨幣,以及操弄股市。事實上,有證據顯示這樣的轉變已經發生。
為了隨時保護企業免於新一代的資安風險,資安領導人應認真思索以下四個勒索病毒可能演進的方向。
如欲進一步了解有關勒索病毒商業模式未來可能的 7 大演變,請閱讀「 勒索病毒商業模式的短期與長期未來」(The Near and Far Future of Ransomware Business Models) 一文。
一、勒索病毒集團開始幫政府工作
目前已經有勒索病毒集團接受政府招募,將其滲透企業的技能轉而投入正當用途。例如,英國國家犯罪調查局 (National Crime Agency) 就成立了 一個計畫來改造青少年駭客,讓他們成為有道德的資安專家。不過,其他國家則對於如何利用這些駭客的工具和技能比較有興趣,而非改造他們。
那些有能力駭入企業並勒索高額贖金的駭客,通常都能輕易入侵政府想要入侵的對象。這些政府與駭客之間的關係,甚至可以用「各取所需」來形容,這些被政府吸收的駭客集團可以大剌剌地攻擊目標,只要與其雇傭國的利益一致就沒問題。不過,勒索病毒集團畢竟還是犯罪分子,所以這些政府很可能是利用減刑作為交換條件。
近期一些事件已證明,這樣的情境並非紙上談兵。就在俄羅斯 2022 年入侵烏克蘭之後,Killnet 這個親俄羅斯的駭客主義集團立刻被收編到 BlackSide 集團之下,BlackSide 是一個經驗豐富的勒索病毒、網路釣魚以及虛擬加密貨幣竊盜集團。Killnet 在 BlackSide 的領導下攻擊了一些知名目標,例如:洛克希德·馬丁 (Lockheed Martin) 公司,並宣稱已竊取了該國防承包商的員工資料。
像 BlackSide 這樣既擁有頂尖滲透技巧、又擁有政府在背後撐腰的集團,未來很可能成為一項嚴重的資安風險。
二、賣空、炒作及操弄股市
2021 年,Darkside 勒索病毒服務 (RaaS) 集團出現了一些更惡毒的活動,不單只是滲透受害企業並植入勒索病毒而已,更聯合股市炒手,在企業被駭的消息曝光之前,預先「放空」受害企業股票,等到消息曝光之後,趁著該公司股票暴跌之際賺取價差。
當然,金融監理單位對於這類手法相當熟悉,而且也能分辨這類可疑的股票交易行為模式。不過由於類似這種「先放空、再放假消息」的詐騙手法可進一步刺激股價下跌,因此其獲利空間高達數億美元,使得歹徒願意鋌而走險。再者,這些涉及股市炒作的網路犯罪集團還有其他方法可以讓獲利最大化。
比方說,假使受害者沒有發現自己遭到入侵,那麼勒索病毒集團很可能會一邊放空受害企業股票,一邊潛伏好幾個禮拜趁機搜刮各種機敏資料。接著,再對外放話他們入侵了該企業,或者啟動勒索病毒來讓企業營運停擺,這樣一來股價就會立刻崩盤,歹徒就能大賺一票。
儘管操弄股市的手法需要一些資金、專業知識以及共犯,但這對那些已經相當成功的勒索病毒集團來說根本不是問題。資安領導人必須要讓董事會了解,企業只要發生一次資料外洩就可能萬劫不復,因為他們的資料、股價與對外形象很可能毀於一旦。
三、供應鏈入侵服務 (Supply Chain Compromise as a Service)
供應鏈攻擊近年來不斷增加,但當網路資安專家在討論這類滲透事件所帶來的威脅時,通常都將它視為一項國安問題,然而勒索病毒的大量散布同樣也會帶來災難性後果。事實上,許多野心勃勃的勒索病毒集團已經證明此一手法的成效。
2021 年,加盟 REvil 的駭客經由 IT 解決方案廠商 Kaseya 的託管式軟體供應商來散布勒索病毒,成功入侵了 1,500 家企業。像這樣的攻擊之所以能如此成功,是因為客戶基本上都信賴他們採用的託管式軟體,所以駭客只需幾個成功案例,一切辛苦就值回票價。
這樣的手法還有某些更令人擔憂的應用情境是結合了勒索病毒的效果以及供應鏈的廣大連結,再加上國家級駭客的不良意圖。例如,2017 年的 NotPetya 攻擊事件滲透了一家名為 MeDoc 的軟體公司,烏克蘭境內 80% 的企業都是這家軟體公司的客戶。儘管駭客也植入了勒索病毒,但 NotPetya 的真正目的似乎是為了在該國製造混亂,因為那些願意支付贖金的受害者並未成功救回自己的資料或系統。
有鑑於這類資料外洩事件所帶來的風險 (不論是財務或其他風險),企業資安領導人應該妥善保護自己的數位供應鏈以盡可能降低曝險。
四、從勒索病毒變成變臉詐騙
勒索病毒未來一個自然而然但卻非常令人擔憂的可能發展是它們不再植入勒索病毒,而是憑著他們滲透企業的技能,轉而利用他們搜刮到的資料來從事變臉詐騙。
變臉詐騙的技巧是誘騙受害企業員工將大筆款項匯到駭客的帳戶。一般來說,這類詐騙不需要透過登入憑證網路釣魚或惡意程式,只需一些公開資訊再加上社交工程(social engineering )技巧就能達成。而且儘管大多數勒索病毒集團並不需要社交工程技巧,但由於變臉詐騙的獲利更加驚人,因此他們轉而投入該領域應該是遲早的事。
根據 FBI 的報告指出,2016 年 6 月至 2021 年 12 月全球因變臉詐騙而造成的損失總金額高達 430 億美元,2016 年每起事件的平均損失高達 16 萬美元。如此的巨大損失,正是資安領導人應該嚴肅看待每一起資安事件的另一個原因。
下一步
勒索病毒集團無時無刻不在改進自己的方法以提升成效和獲利能力,他們不僅要和企業資安領導人鬥智,還要與其他網路犯罪集團競爭。
不論勒索病毒的商業模式下一步是要跟政府或其他犯罪集團合作,或是變換跑道來增加獲利,資安領導人都應該主動思考該如何降低自己的風險。而光有偵測勒索病毒的解決方案也許還不夠,如果能採用一套具備 XDR 功能的全方位平台 (如 Trend One),就能更快、更準確偵測及回應資安威脅。
請參閱以下文章來進一步了解您的企業該如何降低資安風險: