勒索軟體大轉型，防禦難度提升：黒產供應鏈經營成本高，鎖定有能力付贖金的知名企業

勒索軟體為了提高勒索的成功率，也開始數位轉型，尤其是一些駭客集團開始鎖定大型企業作為狩獵（Big game hunter）標的。也就是說，這些駭客集團為了確保被勒索的企業，有能力且有意願支付勒索贖金，從過往漫天撒網的擄資料、加密勒索的方式，進階到鎖定特定產業或特定企業的針對式勒索。

因為加密貨幣出現，解決以往駭客集團最傷腦筋的金流問題，也帶動各種不同駭客集團開始透過勒索軟體加密企業資料的方式，向受駭企業要求支付贖金。

面對勒索軟體持續進化、鎖定知名企業下手，以及黒色產業供應鏈的種種發展態勢，臺灣資安公司奧義智慧共同創辦人叢培侃日前在HITCON Freetalk的研討會中，提出他們的觀察分析。

近期，駭客組織為了確保贖金一定到手，已經啟動了「雙重勒贖」的作法，意即駭客集團在加密企業資料之前，也同步備份一份企業資料，一旦企業不願意針對加密資料支付贖金，駭客集團便威脅在網路上公布企業的機敏資料。「駭客透過加密檔案以及外洩機敏資料的雙重手法，確保企業一定肯支付贖金的作法，就是雙重勒贖。」他說。

面對駭客集團的勒索，企業也擔心：一旦駭客公布企業機敏資料該怎麼辦？受駭新聞若持續發酵，是否會影響公司正常營運？生產供應是否受創？是否違反當地法遵要求的壓力和恐懼。同時，因為不知道駭客是從什麼地方入侵企業，也不知道未來是否還會持續入侵？受駭後，有哪些資安解決方案可以派上用場？

甚至於，企業為了即時恢復系統運作，電腦重灌成為最常見的手法，但也因此毀掉許多駭客入侵的軌跡和相關的登錄檔（Log），就連是否應該支付贖金的決策，都得在更短的時間內做決定，這也使得找到駭客入侵企業的根因，更是難上加難。

叢培侃坦言，企業為了第一時間恢復正常營運、系統可以上線維運，資安業者在協助企業處理勒索軟體的過程中，就是一場和時間賽跑的競賽。而這些受駭企業對資安業者的要求就是，將解密被勒索軟體加密的企業資料和檔案，最好能夠無縫讓企業的系統上線運作。但事實上，企業的要求和資安公司可以提供的解決方案之間，往往有很大的落差。

他也以過往協助客戶面對勒索軟體威脅的經驗表示，資安業者必須要識別勒索軟體的種類，評估有沒有辦法解密、演算法有沒有漏洞、採用何種加密方式，甚至也要針對駭客集團進行背景調查。

因為，如果是遇到惡名昭彰的駭客集團綁資料勒索的話，企業根本沒機會商量贖金殺價與否，只有乖乖支付贖金一條路而已。

勒索軟體出現「幫派化」現象

綜觀現在勒索軟體的散播管道上，有些是透過惡意程式服務平臺Malware as a Service（MaaS）的傀儡網路（Botnet）上架，叢培侃解釋，這就類似有規模的幫派，各地有堂口幫忙喬事情。

常見的傀儡網路包括：今年1月才被八國聯軍抄底的Emotet，以及常見的Trickbot、Zeus和Dridex等，而使用的攻擊手法精良，類似APT滲透技能，像是：BloodHound、Cobalt Strike、Empire等。

他也說，駭客集團要在惡意程式服務平臺上架勒索軟體，支付成本相對高，所以會鎖定有支付能力的大型製造業、高科技製造業等金雞母，這些大型企業經常是財報發表後，就遭到駭客集團勒索。

也因為駭客投注很多的成本，為了達到讓企業支付贖金的目的而不擇手段，所以，企業要跟駭客殺價贖金的空間就比較小，甚至還有難纏的無良駭客——即便拿到贖金，也不打算或是無法將檔案解密。

供應鏈所費不貲，駭客專挑知名企業勒索，因對方能付贖金

目前常見的攻擊流程可以分成三層式，第一層，也是整個勒索即服務的最上游，駭客組織透過傀儡網路散布勒索軟體，例如Emotet或是Trickbot等；第二層就是中游，則是勒索軟體供應商，像是Conti、Ryuk，或是 BazarLoader等，雖然上游之一的Emotet被執法單位抄底，但這些勒索軟體供應商可以花時間，再找其他的MaaS平臺上架即可；第三層就是下游，也是這整個勒索即服務流程中的受駭企業。

由上述的流程可以發現，駭客透過MaaS傀儡網路平臺上架勒索軟體，所費不貲，在每一個環節都必須支付不少成本，因此，如果受駭企業不願意支付贖金的話，駭客集團就無法付錢給上游和中游的供應鏈業者，他們也就會虧本。

這也是為什麼，駭客集團會精準鎖定營收好、好打、國際知名，且加密檔案被解密後，還會願意支付贖金的企業，作為標的，並且會不擇手段逼迫企業支付贖金。像是，以色列業者Clearsky追蹤駭客集團Conti數位貨幣錢包位址的動向，他們發現，當駭客集團收到企業贖金後，數位貨幣的金流會流向其他上游廠商。

此外，為了確保企業一定會付贖金，除了加密檔案向企業勒索外，也會在加密前先備份企業檔案，如果企業不願意之付贖金解密檔案的時候，駭客就會威脅將「駭客備份」的資料外洩到暗網中，這也是企業最擔心、恐懼的部份。叢培侃認為，駭客組織對企業的各種威嚇手段，除了利用工具加密外，也包含不少恫嚇受害者內心的攻防手段在內。

此外，也有不用惡意程式服務平臺上架的勒索軟體，他說，因為駭客集團不需要支付軟體上架等其他太多成本，這些駭客集團就像是一般街頭小混混，鎖定防護能力較弱的中小型製造業、醫院、學校或知名企業等。

因為使用的手法粗糙、沒有客製化病毒的能力，所以企業在跟這類駭客集團進行贖金談判時，溝通看起來相對容易，有比較大的殺價空間，但勒索軟體本身的漏洞多，有時候，企業被加密的檔案，駭客集團不一定有辦法解開。

叢培侃表示，暗網有很多兜售勒索軟體的一站式服務，把勒索軟體當成一種服務販售，也就是Ransomware-as-a-Service（勒索軟體即服務），駭客不僅可以自己產生加密金鑰、躲避偵測組合，還可以自定勒索訊息和選擇想要加密的檔案類型。他說，這些駭客多來自東歐、烏克蘭等地，相關勒索軟體即服務看起來人人都可以輕易上手使用，任意發起小規模攻擊，還是會有企業付錢，

發動一次勒索，平均可以獲得五顆比特幣（25萬美金）贖金，但他強調，這些惡意程式本身都藏有後門程式，一旦使用者啟用了該服務去進行勒索，駭客作者不僅知道誰用的、勒索誰，連使用者在哪裡都一清二楚，因此，千萬不要隨便去暗網買個勒索即服務，就覺得可以輕易賺到企業的贖金，其中有很高的風險和危險性。

他指出，以前的金融木馬是為了取得銀行帳號作為洗錢之用，現在的金融木馬卻是採用敏捷開發、實踐軟體迭代開發的病毒。

舉例而言，Dridex、Trickbot、Emotet都是常見的金融木馬，多年發展下來，程式本身自我混淆和規避偵測技術能力強，持續改良通訊架構，像是Dridex便大量使用VEH（Vectord Exception Handling）進行程式解密，並透過線上軟體更新（In Line Patch）方式做動態修改；而許多勒索軟體也會透過釣魚信件發送，傳統invoice.zip的釣魚信件樣本，已經持續進化成更符合真實社會、更精準的釣魚信件，並會在模擬真實的檔案中「加料」。

勒索軟體多透過傀儡網路散布，年初掃蕩Emotet有益於打擊聲勢

在2020年10月，微軟曾出手打擊Trickbot傀儡網路，當時並沒有成功剿滅，但今年1月27日由德國發起的八國聯軍抄底最大規模傀儡網路Emotet，不僅掃蕩相關的命令與控制伺服器（中繼站）的基礎設施，烏克蘭更逮捕到兩名Emotet系統管理員，證明此次掃蕩行動讓Emotet大受打擊。

對此，叢培侃認為，臺灣也應該要向國際刑警組織提出要求，加入全球類似的網路犯罪組織的聯合稽查、掃蕩非法的行動，都有助於提升臺灣國家的資安實力。

關於先前鴻海在墨西哥的廠區，遭到駭客集團DoppelPaymer勒索軟體的恐嚇事件，外傳有1,200臺伺服器遭到駭客綁架，並有20TB到30TB的加密資料遭到駭客刪除。對此，叢培侃表示，DoppelPaymer病毒是BitPaymer勒索病毒的變種，從2019年便陸續出現於幾起勒索攻擊事件中。

勒索軟體攻擊若要得逞，我們可以進一步分析常見的入侵手法，一般而言，駭客透過遠端桌面帳密及漏洞獲取權限後，便在企業電腦中植入Dridex病毒以竊取資料，然後，透過永恆之藍（EternalBlue）或Zerologon的漏洞，在企業內橫向移動並取得企業內AD（目錄服務）控制權後，伺機發動大規模勒索攻擊。

他也說，該駭客集團除加密檔案外，也同時恐嚇受駭企業用戶，如果企業不願意支付贖金的話，駭客將會在暗網洩漏企業資料，藉此恐嚇受駭企業支付高額贖金。包括電腦製造業者仁寶科技在內，都是透過Dridex、Emotet等垃圾郵件郵件散布勒索程式。
另外，工業電腦大廠研華也傳出遭到勒索軟體Conti外洩一批3GB的內部資料，這也證實駭客集團為了逼迫受駭企業支付贖金，會外洩部分內部資料，證明他們的確擁有受駭企業的內部資料。

其實，關於勒索軟體的散播，不管是DoppelPaymer，或是conti，以及類似的Ruyk，都是透過像是Dridex、Trickbot或是Emote對外散布，其中，最早出現在去年七月的Conti勒索軟體，專門鎖定金融及教育產業、私人企業、政府部門、健康及醫療產業、大型與中小型企業，幾乎可以想見的企業都包括在內，一直到今年初，Conti則成為最常見的勒索軟體之一。

駭客為確保贖金到手，不僅加密資料還向受害者恐嚇外洩

勒索軟體也可以依照規模，區分成三類，叢培侃表示，第一級屬於組織龐大、演化許久的勒索軟體，像是攻透過Dridexn散布的DoppelPaymer（攻擊鴻海），或是其他常見的Egregor、Maze勒索軟體，下面還包括其他類似的勒索軟體，像是Netwalker、Revil（外傳攻擊宏碁電腦Acer的駭客集團）、透過Emotet散布的Ryuk，以及透過Dridex散布的、攻擊衛服部的GlobeImposter等，都是屬於又資深、規模又大的第一級勒索軟體。

第二級則是規模次之、較為新進的勒索軟體，常見的Conti、WastedLocker，或是其他的Avaddon、IOCP、 Clop、Darside、Pysa/Mespinoza、Ragnar、Ranzy、SunCryptThanos都歸於此類。第三級則是更新、規模小也比較不常見的勒索軟體，包括：Cvartk、Exorcist、Gothmog、Lolkek、Muchlove、Nemty、Rush、Wally、XINOF和Zeoticus等。

而上述每一級的勒索軟體，都會利用其網路犯罪集團的黑產供應鏈，目的就是要逼受駭企業之付贖金。

因為勒索軟體持續進化，叢培侃表示，現在進入勒索軟體2.0的時代，駭客追求更聰明、更快、更有效率，希望做到在最短時間內，加密最多檔案以達到最大破壞力，他說：「勒索軟體2.0更是實踐檔案加密最佳化的案例。」

隨著勒索軟體2.0發展，勒索軟體也升級SEEL四部曲，先「偷（Steal）」，接著「加密（Encrypt）」，之後「勒索（Extort）」，最終「外洩（Leak）」。

叢培侃表示，偷的部份，主要是使用APT手法入侵，攻擊大部分人為操作部分，鎖定單位AD（目錄服務）主機，鎖定重要資料，例如HR、SAP REP、MES、財會系統等資料，再傳輸到雲端硬碟。

緊接著加密部分，在AD伺服器部署加密程式，並在AD設定定時炸彈，實施檔案加密階段；勒索的作法則包括：在暗網外洩相關檔案資料的資訊後，寄給受駭企業IT人員相關勒索訊息，並同步持續竊取企業資料；外洩則像是擠牙膏一樣，逐步洩漏企業資料，也會公布外洩資料進度比例。

不過，他也說，駭客為了達到逼迫受駭企業支付贖金的目的，在勒索軟體加密企業電腦後，駭客也會針對受駭企業的IT、資安或CSIRT人員廣發信件，並威脅企業如果不付贖金的話，就會在暗網公布外洩資料，而這種加密資料又威脅外洩資料的作法，稱之為雙重勒索。不過，叢培侃也笑說，當企業在暗網外洩資料達百分之百後，企業的資料就成為開放資料，網路上都可以找回來，但多數企業都等不到這個時候，也無法接受這樣的建議。因為駭客背後通常是龐大的組織，很難對鎖定攻擊的企業收手，除非，駭客打不贏受駭企業。文☉黃彥棻

常見的勒索軟體攻擊流程以分成三層，最上游是指駭客組織透過傀儡網路散布勒索軟體，例如Emotet或是Trickbot等；中游則是勒索軟體供應商，像是Conti、Ryuk，或是 BazarLoader等，雖然上游之一的Emotet被執法單位抄底，但這些勒索軟體供應商可以再找其他的MaaS平臺上架；下游是指整個勒索即服務流程中的受駭企業。

圖片來源/奧義智慧

暗網有很多兜售勒索軟體的一站式服務，把勒索軟體當成一種服務販售，也就是Ransomware-as-a-Service（勒索軟體即服務），駭客不僅可以自己產生加密金鑰、躲避偵測組合，還可以自定勒索訊息和選擇想要加密的檔案類型。

圖片來源/奧義智慧

勒索軟體依照規模可分成三類，第一級屬於組織龐大、演化許久的勒索軟體，第二級則是規模次之、較為新進的勒索軟體，第三級則是更新、規模小也比較不常見的勒索軟體。

圖片來源/奧義智慧