勒索软件为了提高勒索的成功率,也开始数字转型,尤其是一些黑客集团开始锁定大型企业作为狩猎(Big game hunter)标的。也就是说,这些黑客集团为了确保被勒索的企业,有能力且有意愿支付勒索赎金,从以往漫天撒网的掳资料、加密勒索的方式,高端到锁定特定产业或特定企业的针对式勒索。
因为加密货币出现,解决以往黑客集团最伤脑筋的金流问题,也带动各种不同黑客集团开始通过勒索软件加密企业资料的方式,向受黑企业要求支付赎金。
面对勒索软件持续进化、锁定知名企业下手,以及黒色产业供应链的种种发展态势,台湾安全公司奥义智能共同创办人丛培侃日前在HITCON Freetalk的研讨会中,提出他们的观察分析。
近期,黑客组织为了确保赎金一定到手,已经启动了“双重勒索”的做法,意即黑客集团在加密企业资料之前,也同步备份一份企业资料,一旦企业不愿意针对加密资料支付赎金,黑客集团便威胁在网络上公布企业的机密敏感资料。 “黑客通过加密文件以及外泄机密敏感资料的双重手法,确保企业一定肯支付赎金的做法,就是双重勒索。”他说。
面对黑客集团的勒索,企业也担心:一旦黑客公布企业机密敏感资料该怎么办?受黑新闻若持续发酵,是否会影响公司正常运营?生产供应是否受创?是否违反当地法遵要求的压力和恐惧。同时,因为不知道黑客是从什么地方入侵企业,也不知道未来是否还会持续入侵?受黑后,有哪些安全解决方案可以派上用场?
甚至于,企业为了即时恢复系统运行,计算机重装成为最常见的手法,但也因此毁掉许多黑客入侵的轨迹和相关的注册表(Log),就连是否应该支付赎金的决策,都得在更短的时间内做决定,这也使得找到黑客入侵企业的根因,更是难上加难。
丛培侃坦言,企业为了第一时间恢复正常运营、系统可以上线运维,安全企业在协助企业处理勒索软件的过程中,就是一场和时间赛跑的竞赛。而这些受黑企业对安全企业的要求就是,将解密被勒索软件加密的企业资料和文件,最好能够无缝让企业的系统上线运行。但事实上,企业的要求和安全公司可以提供的解决方案之间,往往有很大的落差。
他也以以往协助客户面对勒索软件威胁的经验表示,安全企业必需要识别勒索软件的种类,评估有没有办法解密、算法有没有漏洞、采用何种加密方式,甚至也要针对黑客集团进行背景调查。
因为,如果是遇到恶名昭彰的黑客集团绑资料勒索的话,企业根本没机会商量赎金杀价与否,只有乖乖支付赎金一条路而已。
综观现在勒索软件的散播渠道上,有些是是通过恶意程序服务平台Malware as a Service(MaaS)的傀儡网络(Botnet)上架,丛培侃解释,这就类似有规模的帮派,各地有堂口帮忙乔事情。
常见的傀儡网络包括:今年1月才被八国联军抄底的Emotet,以及常见的Trickbot、Zeus和Dridex等,而使用的攻击手法精良,类似APT渗透技能,像是:BloodHound、Cobalt Strike、Empire等。
他也说,黑客集团要在恶意程序服务平台上架勒索软件,支付成本相对高,所以会锁定有支付能力的大型制造业、高科技制造业等摇钱树,这些大型企业经常是财报发布后,就遭到黑客集团勒索。
也因为黑客投注很多的成本,为了达到让企业支付赎金的目的而不择手段,所以,企业要跟黑客杀价赎金的空间就比较小,甚至还有难缠的无良黑客——即便拿到赎金,也不打算或是无法将文件解密。
目前常见的攻击流程可以分成三层式,第一层,也是整个勒索即服务的最上游,黑客组织通过傀儡网络传播勒索软件,例如Emotet或是Trickbot等;第二层就是中游,则是勒索软件供应商,像是Conti、Ryuk,或是BazarLoader等,虽然上游之一的Emotet被执法单位抄底,但这些勒索软件供应商可以花时间,再找其他的MaaS平台上架即可;第三层就是下游,也是这整个勒索即服务流程中的受黑企业。
由上述的流程可以发现,黑客通过MaaS傀儡网络平台上架勒索软件,所费不菲,在每一个环节都必须支付不少成本,因此,如果受黑企业不愿意支付赎金的话,黑客集团就无法付钱给上游和中游的供应链企业,他们也就会亏本。
这也是为什么,黑客集团会精准锁定营收好、好打、国际知名,且加密文件被解密后,还会愿意支付赎金的企业,作为标的,并且会不择手段逼迫企业支付赎金。像是,以色列企业Clearsky关注黑客集团Conti数字货币钱包地址的动向,他们发现,当黑客集团收到企业赎金后,数字货币的金流会流向其他上游厂商。
此外,为了确保企业一定会付赎金,除了加密文件向企业勒索外,也会在加密前先备份企业文件,如果企业不愿意之付赎金解密文件的时候,黑客就会威胁将“黑客备份”的资料外泄到暗网中,这也是企业最担心、恐惧的部分。丛培侃认为,黑客组织对企业的各种威吓手段,除了利用工具加密外,也包含不少恫吓受害者内心的攻防手段在内。
此外,也有不用恶意程序服务平台上架的勒索软件,他说,因为黑客集团不需要支付软件上架等其他太多成本,这些黑客集团就像是一般街头小混混,锁定防护能力较弱的中小型制造业、医院、学校或知名企业等。
因为使用的手法粗糙、没有定制化病毒的能力,所以企业在跟这类黑客集团进行赎金谈判时,沟通看起来相对容易,有比较大的杀价空间,但勒索软件本身的漏洞多,有时候,企业被加密的文件,黑客集团不一定有办法解开。
丛培侃表示,暗网有很多兜售勒索软件的一站式服务,把勒索软件当成一种服务销售,也就是Ransomware-as-a-Service(勒索软件即服务),黑客不仅可以自己产生加密密钥、躲避侦测组合,还可以自定勒索消息和选择想要加密的文件类型。他说,这些黑客多来自东欧、乌克兰等地,相关勒索软件即服务看起来人人都可以轻易上手使用,任意发起小规模攻击,还是会有企业付钱,
发动一次勒索,平均可以获得五颗比特币(25万美金)赎金,但他强调,这些恶意程序本身都藏有后门程序,一旦用户激活了该服务去进行勒索,黑客作者不仅知道谁用的、勒索谁,连用户在哪里都一清二楚,因此,千万不要随便去暗网买个勒索即服务,就觉得可以轻易赚到企业的赎金,其中有很高的风险和危险性。
他指出,以前的金融木马是为了取得银行账号作为洗钱之用,现在的金融木马却是采用敏捷开发、实践软件迭代开发的病毒。
举例而言,Dridex、Trickbot、Emotet都是常见的金融木马,多年发展下来,程序本身自我混淆和规避侦测技术能力强,持续改良通信架构,像是Dridex便大量使用VEH(Vectord Exception Handling)进行程序解密,并通过线上软件更新(In Line Patch)方式做动态修改;而许多勒索软件也会通过钓鱼信件发送,传统invoice.zip的钓鱼信件样本,已经持续进化成更符合真实社会、更精准的钓鱼信件,并会在模拟真实的文件中“加料”。
在2020年10月,微软曾出手打击Trickbot傀儡网络,当时并没有成功剿灭,但今年1月27日由德国发起的八国联军抄底最大规模傀儡网络Emotet,不仅扫荡相关的命令与控制服务器(中继站)的基础设施,乌克兰更逮捕到两名Emotet系统管理员,证明此次扫荡行动让Emotet大受打击。
关于先前鸿海在墨西哥的厂区,遭到黑客集团DoppelPaymer勒索软件的恐吓事件,外传有1,200台服务器遭到黑客绑架,并有20TB到30TB的加密资料遭到黑客删除。对此,丛培侃表示,DoppelPaymer病毒是BitPaymer勒索病毒的变种,从2019年便陆续出现于几起勒索攻击事件中。
勒索软件攻击若要得逞,我们可以进一步分析常见的入侵手法,一般而言,黑客通过远程桌面帐密及漏洞获取权限后,便在企业计算机中植入Dridex病毒以窃取资料,然后,通过永恒之蓝(EternalBlue)或Zerologon的漏洞,在企业内横向移动并取得企业内AD(目录服务)控制权后,伺机发动大规模勒索攻击。
他也说,该黑客集团除加密文件外,也同时恐吓受黑企业用户,如果企业不愿意支付赎金的话,黑客将会在暗网泄露企业资料,借此恐吓受黑企业支付高额赎金。包括计算机制造企业仁宝科技在内,都是通过Dridex、Emotet等垃圾邮件邮件传播勒索程序。
另外,工业计算机大厂研华也传出遭到勒索软件Conti外泄一批3GB的内部资料,这也证实黑客集团为了逼迫受黑企业支付赎金,会外泄部分内部资料,证明他们的确拥有受黑企业的内部资料。
其实,关于勒索软件的散播,不管是DoppelPaymer,或是conti,以及类似的Ruyk,都是通过像是Dridex、Trickbot或是Emote对外传播,其中,最早出现在去年七月的Conti勒索软件,专门锁定金融及教育产业、私人企业、政府部门、健康及医疗产业、大型与中小型企业,几乎可以想见的企业都包括在内,一直到今年初,Conti则成为最常见的勒索软件之一。
勒索软件也可以依照规模,区分成三类,丛培侃表示,第一级属于组织庞大、演化许久的勒索软件,像是攻通过Dridexn传播的DoppelPaymer(攻击鸿海),或是其他常见的Egregor、Maze勒索软件,下面还包括其他类似的勒索软件,像是Netwalker、Revil(外传攻击宏碁计算机Acer的黑客集团)、通过Emotet传播的Ryuk,以及通过Dridex传播的、攻击卫服部的GlobeImposter等,都是属于又资深、规模又大的第一级勒索软件。
第二级则是规模次之、较为新进的勒索软件,常见的Conti、WastedLocker,或是其他的Avaddon、IOCP、Clop、Darside、Pysa/Mespinoza、Ragnar、Ranzy、SunCryptThanos都归于此类。第三级则是更新、规模小也比较不常见的勒索软件,包括:Cvartk、Exorcist、Gothmog、Lolkek、Muchlove、Nemty、Rush、Wally、XINOF和Zeoticus等。
而上述每一级的勒索软件,都会利用其网络犯罪集团的黑产供应链,目的就是要逼受黑企业之付赎金。
因为勒索软件持续进化,丛培侃表示,现在进入勒索软件2.0的时代,黑客追求更聪明、更快、更有效率,希望做到在最短时间内,加密最多文件以达到最大破坏力,他说:“勒索软件2.0更是实践文件加密优化的案例。”
随着勒索软件2.0发展,勒索软件也升级SEEL四部曲,先“偷(Steal)”,接着“加密(Encrypt)”,之后“勒索(Extort)”,最终“外泄(Leak)”。
丛培侃表示,偷的部分,主要是使用APT手法入侵,攻击大部分人为操作部分,锁定单位AD(目录服务)主机,锁定重要资料,例如HR、SAP REP、MES、财会系统等资料,再传输到云计算硬盘。
紧接着加密部分,在AD服务器部署加密程序,并在AD设置定时炸弹,实施文件加密阶段;勒索的做法则包括:在暗网外泄相关文件资料的信息后,寄给受黑企业IT人员相关勒索消息,并同步持续窃取企业资料;外泄则像是挤牙膏一样,逐步泄露企业资料,也会公布外泄资料进度比例。
不过,他也说,黑客为了达到逼迫受黑企业支付赎金的目的,在勒索软件加密企业计算机后,黑客也会针对受黑企业的IT、安全或CSIRT人员广发信件,并威胁企业如果不付赎金的话,就会在暗网公布外泄资料,而这种加密资料又威胁外泄资料的做法,称之为双重勒索。不过,丛培侃也笑说,当企业在暗网外泄资料达百分之百后,企业的资料就成为开放资料,网络上都可以找回来,但多数企业都等不到这个时候,也无法接受这样的建议。因为黑客背后通常是庞大的组织,很难对锁定攻击的企业收手,除非,黑客打不赢受黑企业。文☉黄彦棻
常见的勒索软件攻击流程以分成三层,最上游是指黑客组织通过傀儡网络传播勒索软件,例如Emotet或是Trickbot等;中游则是勒索软件供应商,像是Conti、Ryuk,或是BazarLoader等,虽然上游之一的Emotet被执法单位抄底,但这些勒索软件供应商可以再找其他的MaaS平台上架;下游是指整个勒索即服务流程中的受黑企业。
暗网有很多兜售勒索软件的一站式服务,把勒索软件当成一种服务销售,也就是Ransomware-as-a-Service(勒索软件即服务) ,黑客不仅可以自己产生加密密钥、躲避侦测组合,还可以自定勒索消息和选择想要加密的文件类型。
勒索软件依照规模可分成三类,第一级属于组织庞大、演化许久的勒索软件,第二级则是规模次之、较为新进的勒索软件,第三级则是更新、规模小也比较不常见的勒索软件。
图片来源/奥义智能