示意圖

就在武漢肺炎(COVID-19)疫情衝擊全球人們之際,資安業者Intel 471認為勒索軟體即服務(Ransomware-as-a-service,RaaS)已成為這波疫情中的疫情,在去年與今年總計有25個RaaS問世,而且它們發動攻擊的規模與所造成的災情幾乎無法確實統計。

Intel 471列出了在這兩年出現的25個RaaS,當中有17個是今年才問世,此外,在這些RaaS中,有11個屬於尚未接獲攻擊報告的服務,有9個被列為已出現攻擊案例且正快速成長中的服務,另外5個則是經常傳出災情的服務,涵蓋DopplePaymer、Egregor/Maze、Netwalker、REvil與Ryuk。

研究人員指出,勒索軟體的猖獗已經到了連非資安產業的人都認識它的程度了,而且就算是老練的資安專家,也很難評估勒索軟體的品質與它所能造成的傷害,儘管攻擊事件不斷地曝光,但有鑑於許多組織在遭受攻擊時選擇保持沈默,而使得資安產業難以估算攻擊數量或受害者的平均成本。

另一方面,駭客勢力正暗潮洶湧中,促使Intel 471公布近來的調查成果,以協助外界理解此一日益嚴重的攻擊行為。

在被Intel 471列為最兇猛的5個RaaS都是在去年就問世了,研究人員猜測DopplePaymer是由先前的BitPaymer集團所打造,它通常是在入侵受害者網路並下載了機密資料之後,採用手動部署;DopplePaymer攻擊了墨西哥電場Pemex,以及與美國聯邦政府合作的不同IT委外公司,最著名的事蹟則是在今年9月攻擊了德國杜塞道夫大學醫院(Duesseldorf University Hospital),導致一名來不及轉院的急診病患死亡。

其實駭客的攻擊目標並非德國杜塞道夫大學醫院,而是杜塞道夫大學,在駭客得知搞錯目標之後,傳送了解密金鑰予該院,只是為時已晚。

而Egregor則是由原來的Maze勒索軟體團隊所操縱,也可能與Sekhmet勒索軟體有關,其受害者包括Crytek、Ubisoft及Barnes & Noble。則Netwalker被視為最多產的SaaS之一,它利用無檔案感染技術繞過Windows的使用者帳號控制元件,買家可選擇只加密單一電腦或整個網路,估計至少有25起攻擊事件與Netwalker有關。

同樣在去年現身的REvil則是專找漏洞下手,像是甲骨文WebLogic伺服器的CVE-2019-2725漏洞,或是各種遠端桌面協定(RDP)漏洞,曾宣稱在開採過時的Citrix與Pulse Secure遠端存取軟體時,只花了3分鐘就滲透受害者的整個網路,不論是英國的金融服務供應商Travelex、美國的娛樂及媒體法律公司Grubman Shire Meiselas & Sacks,或者是德州的23個政府機構,都是REvil的受害者。

幾乎已被視為勒索軟體同義詞的Ryuk,也是最受攻擊者青睞的勒索軟體之一,它經常藉由Trickbot與Emotet感染受害組織,全球大約有幾百萬起的勒索軟體攻擊與Ryuk有關,有些安全研究人員認為Ryuk占了今年勒索軟體攻擊總數的1/3。值得注意的是,Ryuk今年的攻擊行動鎖定健康照護領域,最有名的例子之一是在美、英設有超過400家醫院的Universal Health Systems(UHS)。

此外,不管是這五大勒索集團,或是逐漸崛起的新興勒索集團,都開始於暗網中架設部落格,以公布受害者名單,或是公布自受害者網路所下載的機密資料。


Advertisement

更多 iThome相關內容