全世界的勒索病毒集團似乎正掀起一場革命,好讓自身的績效變得更好、演變更多有別以往的招數,讓網路世界更加危險。為了隨時保護企業免於新一代的資安風險,資安領導人應認真思索四個勒索病毒可能演變的方向。
數十年來,資安領導人和資安長(CISO)一直在保護自己的企業免於勒索病毒襲擊,並因應技術的變遷來防範資料竊盜及關鍵系統停機的昂貴風險,但歹徒總是能想出更多新的招數。
如今,全世界的勒索病毒集團似乎正掀起一場革命,好讓他們績效變得更好、演變更多有別以往的招數,讓網路世界更加地危險。
其實,勒索病毒的感染過程只要稍加調整就能輕易地轉成其他類型的犯罪活動,例如網路勒索、變臉詐騙(BEC)、竊取虛擬加密貨幣,以及操弄股市等等,更有證據顯示這樣的轉變已經發生。
為了隨時保護企業免於新一代的資安風險,資安領導人應認真思索以下四個勒索病毒可能演變的方向。如欲了解有關勒索病毒商業模式未來可能的七大演變,可進一步閱讀「勒索病毒商業模式的短期與長期未來」(The Near and Far Future of Ransomware Business Models)一文。
演變一:重要集團開始幫政府工作
目前已經有勒索病毒集團接受政府招募,將其滲透企業的技能轉而投入正當用途。例如,英國國家犯罪調查局(National Crime Agency)就成立一個計畫來改造青少年駭客,讓他們成為有道德的資安專家。不過,有些國家則對於如何利用這些駭客的工具和技能比較有興趣,而非改造他們。
那些有能力駭入企業並勒索高額贖金的駭客,通常都能輕易入侵政府想要入侵的對象。這些政府與駭客之間的關係,甚至可以用「各取所需」來形容,這些被政府吸收的駭客集團可以大剌剌地攻擊目標,只要與其雇傭國的利益一致就沒問題。不過,勒索病毒集團畢竟還是犯罪分子,所以這些政府很可能是利用減刑作為交換條件。
近期一些事件已證明,這樣的情境並非紙上談兵。就在俄羅斯2022年入侵烏克蘭之後,Killnet這個親俄羅斯的駭客主義集團立刻被收編到BlackSide集團之下。BlackSide是一個經驗豐富的勒索病毒、網路釣魚以及虛擬加密貨幣竊盜集團。Killnet在BlackSide的領導下攻擊了一些知名目標如洛克希德‧馬丁(Lockheed Martin)公司,並宣稱已竊取了該國防承包商的員工資料。
像BlackSide這樣既擁有頂尖滲透技巧、又擁有政府在背後撐腰的集團,未來很可能成為一項嚴重的資安風險。
演變二:賣空、炒作及操弄股市
2021年,Darkside勒索病毒服務(RaaS)集團出現了一些更惡毒的活動,不單只是滲透受害企業並植入勒索病毒而已,更聯合股市炒手,在企業被駭的消息曝光前,預先「放空」受害企業股票,等到消息曝光後,趁著該公司股票暴跌之際賺取價差。
當然,金融監理單位對於這類手法相當熟悉,而且也能分辨這類可疑的股票交易行為模式。不過由於類似這種「先放空、再放假消息」的詐騙手法可進一步刺激股價下跌,因此其獲利空間高達數億美元,使得歹徒願意鋌而走險。再者,這些涉及股市炒作的網路犯罪集團還有其他方法可以讓獲利最大化。比方說,假使受害者沒有發現自己遭到入侵,那麼勒索病毒集團很可能會一邊放空受害企業股票,一邊潛伏好幾個禮拜趁機搜刮各種機敏資料。接著,再對外放話他們入侵了該企業,或者啟動勒索病毒讓企業營運停擺,造成股價立刻崩盤、歹徒大賺一票。
儘管操弄股市的手法需要一些資金、專業知識以及共犯,但這對那些已經相當成功的勒索病毒集團來說根本不是問題。資安領導人必須要讓董事會了解,企業只要發生一次資料外洩就可能萬劫不復,因為他們的資料、股價與對外形象很可能毀於一旦。
勒索病毒集團不單只是滲透受害企業並植入勒索病毒而已,更聯合股市炒手,賺取價差。
演變三:供應鏈入侵服務(Supply Chain Compromise as a Service)
供應鏈攻擊近年來不斷增加,但當網路資安專家在討論這類滲透事件所帶來的威脅時,通常都將它視為一項國安問題,然而勒索病毒的大量散布同樣也會帶來災難性後果。事實上,許多野心勃勃的勒索病毒集團已經證明此一手法的成效。
2021年,加盟REvil的駭客經由IT解決方案廠商Kaseya的託管式軟體供應商來散布勒索病毒,成功入侵了1,500家企業。像這樣的攻擊之所以能如此成功,是因為客戶基本上都信賴他們採用的託管式軟體,所以駭客只需幾個成功案例,一切辛苦就值回票價。
這樣的手法還有某些更令人擔憂的應用情境是結合了勒索病毒的效果以及供應鏈的廣大連結,再加上國家級駭客的不良意圖。例如,2017年的NotPetya攻擊事件滲透了一家名為MeDoc的軟體公司,烏克蘭境內80%的企業都是這家軟體公司的客戶。儘管駭客也植入了勒索病毒,但NotPetya的真正目的似乎是為了在該國製造混亂,因為那些願意支付贖金的受害者並未成功救回自己的資料或系統。
有鑑於這類資料外洩事件所帶來的風險(不論是財務或其他風險),企業資安領導人應該妥善保護自己的數位供應鏈以盡可能降低曝險。
演變四:從勒索病毒變成變臉詐騙
未來,勒索病毒可能自然地演變一項令人擔憂的發展是它們不再植入勒索病毒,而是憑著滲透企業的技能,轉而利用搜刮到的資料來從事變臉詐騙。
變臉詐騙的技巧是誘騙受害企業員工將大筆款項匯到駭客的帳戶。一般來說,這類詐騙不需要透過登入憑證網路釣魚或惡意程式,只需一些公開資訊再加上社交工程技巧就能達成。而且,大多數勒索病毒集團不需要社交工程技巧,但由於變臉詐騙的獲利更加驚人,因此他們轉而投入該領域應該是遲早的事。
根據FBI的報告指出,2016年6月至2021年12月全球因變臉詐騙而造成的損失總金額高達430億美元,2016年每起事件的平均損失高達16萬美元,如此巨大損失是資安領導人應該嚴肅看待每一起資安事件的另一個原因。
下一步
勒索病毒集團無時無刻不在改進自己的方法以提升成效和獲利能力,他們不僅要和企業資安領導人鬥智,還要與其他網路犯罪集團競爭。
不論勒索病毒的商業模式下一步是要跟政府或其他犯罪集團合作,或是變換跑道來增加獲利,資安領導人都應該主動思考如何降低自己的風險。而光有偵測勒索病毒的解決方案也許還不夠,如果能採用一套具備XDR功能的全方位平台(如Trend One),就能更快、更準確地偵測及回應資安威脅。
可參閱以下的文章來進一步了解自身的企業該如何降低資安風險:
· 2023年勒索病毒可能的六種演變(https://www.trendmicro.com/en_us/ciso/23/b/ransomware-trends-evolutions-2023.html)
· 掌握2023年預測來改善資安(https://www.trendmicro.com/en_us/ciso/22/l/cyber-security-posture-2023-predictions.html)
· 2023年勒索病毒事件復原計畫(https://www.trendmicro.com/en_us/ciso/23/a/ransomware-recovery-plan.html)
<本文作者:Trend Micro Research 趨勢科技威脅研究中心本文出自趨勢科技資安部落格,是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作,發掘消費者及商業經營所面臨層出不窮的資安威脅,進行研究分析、分享觀點並提出建議。>