隨著勒索病毒持續演進,駭客的攻擊也日趨針對性。2019 年,新版的惡意程式會利用駭客手法或其他方式來滲透網路。為了尋找珍貴資料,它們會在網路內部四處移動並取得系統管理員權限,最後將資料加密並要求一筆贖金。一些最為人知的變種包括 Conti、Clop 和 LockBit。
今日的勒索病毒攻擊已經進化出一種精密的策略:結合加密與其它手法來逼迫受害者付款,包括將受害者資料一點一點公布在網路上來製造壓力,使得這類威脅不論對企業機構或一般個人都更難防範。
至於勒贖部分,駭客不會只滿足於基本的要求。近年來,勒索病毒攻擊已經從雙重勒索 (加密、將資料公開) 演變成三重或四重勒索 (加密、將資料公開、DDoS 阻斷服務攻擊、在社群媒體上騷擾受害的客戶和供應商)。其最終目標不變,也就是不計代價從贖金中獲利。
勒索病毒所仰賴的關鍵地下服務
勒索病毒已成為網路犯罪複雜生態系的一環,有幾種駭客會在勒索病毒的攻擊階段當中扮演重要角色 (從攻擊前到攻擊後)。這些階段對於攻擊成功與否相當關鍵,因此,認識這些階段對於防範這類災難性攻擊至關重要。
勒索病毒攻擊的幾個階段:
⭕️ 突破防線
駭客經常利用含有木馬程式的惡意電子郵件來入侵網路,並搭配某些社交工程技巧或利用對外連網系統的漏洞來攻擊企業。此外,有些勒索病毒集團還會向一些專門的服務購買企業網路的存取權限,或者自行取得這類存取權限。
⭕️ 橫向移動與提升權限
在這階段,駭客會試著進一步深入受害者的網路,並試圖利用一些標準或客製化的駭客工具來取得更高權限。
⭕️ 將機密資料外傳
在成功橫向移動之後,駭客很可能會取得一些私密資料並試著將資料外傳。此外,也會分析這些偷來的資料以決定該勒索多少贖金,同時也判斷企業是否有投保資安險。
⭕️ 破壞備份系統
駭客會試圖破壞備份流程和系統以降低受害者從備份資料復原系統的機會。
⭕️ 植入勒索病毒程式
在這階段,駭客會在系統植入可能對受害者造成嚴重損害的勒索病毒:將資料檔案加密以及讓 IT 系統無法使用。
⭕️ 勒索贖金
接下來駭客會向受害者勒索贖金。讓企業受害最深的兩點是:受害者只有在支付贖金之後才能拿到解密金鑰,以及駭客威脅如果不支付贖金就要將資料公開。
在接下來的第 2 篇,我們將探討可能導致勒索病毒集團改變商業模式甚至掀起一場勒索病毒革命的一些誘因。
原文出處:A Deep Dive into the Evolution of Ransomware Part 1